Egy rendkívül súlyos biztonsági hibát fedeztek fel a GitHub infrastruktúrájában, amely lehetővé tette, hogy támadók távoli kódot futtassanak (RCE) akár milliónyi repository-t érintve.
👉 Azonosító: CVE-2026-3854
Mi történt pontosan?
A hiba lényege:
👉 egy egyszerű git push paranccsal kihasználható injection sérülékenység
Ez azt jelenti:
- nincs szükség admin jogra
- nincs szükség speciális eszközre
- egy normál Git kliens elegendő
👉 ez teszi igazán veszélyessé
Mit érhetett el a támadó?
Sikeres kihasználás esetén:
- távoli kódfuttatás backend rendszereken
- hozzáférés repository-khoz
- konfigurációs adatok megszerzése
- credentialök és titkok kiszivárgása
👉 vállalati környezetben:
teljes szerver kompromittálás
Kik fedezték fel?
A hibát a Wiz Research kutatói találták meg.
👉 külön érdekesség:
AI-t is használtak az elemzéshez
Miért ennyire kritikus?
A GitHub:
- multi-tenant rendszer
- közös infrastruktúrát használ
👉 ez azt jelenti:
egy támadás több szervezetet is érinthet egyszerre
Hogyan működött a támadás?
A probléma egy belső feldolgozási folyamatban volt:
👉 Git push → belső pipeline → metaadat feldolgozás
A támadó:
- manipulált adatot küldött
- nem megfelelően szűrt inputot használt
- felülírta a biztonsági beállításokat
A támadás lépései
- sandbox védelem kikapcsolása
- futtatási útvonal átirányítása
- rosszindulatú kód futtatása
👉 eredmény:
privilegizált rendszerfiókkal futó kód
Mi volt a hiba gyökere?
Több tényező együtt:
- input validáció hiánya
- belső adatok túlzott bizalma
- „last-write-wins” logika
- több szolgáltatás közötti inkonzisztencia
👉 klasszikus modern architektúra probléma
GitHub reakciója
A GitHub:
- 6 órán belül javította a cloud rendszert
- kiadta a GHES frissítéseket
- koordináltan publikálta a hibát
👉 gyors reakció, de…
Probléma: lassú frissítés
A kutatók szerint:
👉 a GitHub Enterprise Server példányok 88%-a nem volt frissítve
👉 ez hatalmas kockázat
Érintett verziók (javított)
Frissíteni kell legalább:
- 3.14.24
- 3.15.19
- 3.16.15
- 3.17.12
- 3.18.6
- 3.19.3+
Mit kell tenni azonnal?
🔴 Kritikus:
- azonnali frissítés
- patch ellenőrzés
🟡 Ellenőrzés:
- Git aktivitás audit
- log elemzés
- repository integritás vizsgálat
🟢 Védelem:
- hook-ok korlátozása
- CI/CD biztonság erősítése
- hozzáférések minimalizálása
AI szerepe a felfedezésben
Ez az eset új korszakot mutat:
👉 AI segített:
- reverse engineeringben
- protokoll elemzésben
- exploit útvonal feltárásban
👉 a jövőben ez felgyorsítja:
- hibák felfedezését
- de a támadásokat is
Nagyobb tanulság
Ez a sérülékenység rávilágít:
👉 a modern rendszerek legnagyobb gyengesége
a komponensek közötti bizalom
És:
👉 egy apró hiba → globális hatás
Összegzés
A CVE-2026-3854:
- az egyik legsúlyosabb GitHub sérülékenység
- egyszerűen kihasználható
- több millió repository-t érinthet
👉 legfontosabb:
azonnali frissítés és audit.





