Per Git-Push-Befehl: Angreifer hätten Millionen von Github-Repos kapern können
Sicherheitsforscher von Wiz haben eine extrem gefährliche Sicherheitslücke in der internen Git-Infrastruktur von Github entdeckt. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) hätten Angreifer durch einen einfachen Git-Push-Befehl Schadcode auf die Backend-Server von Github schleusen und damit tief in die Infrastruktur eindringen können. Auch Github Enterprise Server ist betroffen.
Die besagte Sicherheitslücke ist als CVE-2026-3854(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 8,8 einen hohen Schweregrad. Dass keine Höchstwertung vergeben wurde, liegt vor allem daran, dass ein Angreifer sich vorab authentifizieren muss und eine Push-Berechtigung für ein beliebiges Repository benötigt. Auf Github.com sind diese Bedingungen aufgrund der offenen Registrierung allerdings leicht zu erfüllen.
Laut Schwachstellenbeschreibung liegt die Ursache in einer unsachgemäßen Bereinigung von Nutzern übergebener Push-Optionswerte. "Da das interne Header-Format ein Trennzeichen verwendete, das auch in Benutzereingaben vorkommen konnte, war es einem Angreifer möglich, durch manipulierte Werte für Push-Optionen zusätzliche Metadatenfelder einzuschleusen", heißt es.
Millionen von Code-Repos gefährdet
Nähere technische Details zu der Sicherheitslücke und ihrer Erkundung sind bei Wiz zu finden(öffnet im neuen Fenster). Entdeckt wurde die Lücke demnach durch KI-gestütztes Reverse Engineering. Die Forscher beschreiben CVE-2026-3854 daher in ihrem Blogbeitrag auch als "eine der ersten kritischen Sicherheitslücken, die mithilfe von KI in Closed-Source-Binärdateien entdeckt wurde".
Trotz der Komplexität des zugrundeliegenden Systems lässt sich die Sicherheitslücke nach Angaben der Sicherheitsforscher "bemerkenswert einfach ausnutzen". Auf Github.com soll die Schwachstelle eine Remote-Codeausführung auf gemeinsam genutzten Speicherknoten ermöglicht haben. Angreifer hätten damit laut Wiz auf Millionen von Github-Repositorys zugreifen können.
Kaum weniger gefährlich ist die Lücke in Bezug auf selbst gehostete Instanzen mit Github Enterprise Server. Den Angaben zufolge sollen sich anfällige Systeme mit CVE-2026-3854 vollständig kompromittieren lassen. Auch darauf gehostete Repos und interne Geheimnisse sind entsprechend gefährdet. Hier dürfte aber in vielen Fällen die nötige Authentifizierung samt Push-Berechtigung eine größere Hürde darstellen.
Viele Github-Server noch angreifbar
Auf Github.com soll die Lücke innerhalb weniger Stunden nach Meldung der Forscher gepatcht worden sein. Laut Githubs eigener Sicherheitsmeldung(öffnet im neuen Fenster) zu dem Thema passierte das schon am 4. März. Wer einen eigenen Github-Enterprise-Server betreibt, muss den Patch hingegen selbst einspielen, sofern noch nicht geschehen. Als geschützt gelten alle Versionen ab 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4 und 3.20.0.
Wer nun annimmt, dass die seit Wochen verfügbaren Patches auf vielen Instanzen schon angekommen sind, liegt jedoch falsch. Wie die Wiz-Forscher unter Verweis auf eigene Daten erklären, sind 88 Prozent aller Github-Enterprise-Server wohl noch immer angreifbar. Für viele Admins besteht also weiterhin Handlungsbedarf.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.