🚨 Kritikus GitHub sérülékenység: egyetlen paranccsal távoli kódfuttatás (RCE)

GitHub RCE sérülékenység

Egy rendkívül súlyos biztonsági hibát fedeztek fel a GitHub infrastruktúrájában, amely lehetővé tette, hogy támadók távoli kódot futtassanak (RCE) akár milliónyi repository-t érintve.

👉 Azonosító: CVE-2026-3854


Mi történt pontosan?

A hiba lényege:

👉 egy egyszerű git push paranccsal kihasználható injection sérülékenység

Ez azt jelenti:

  • nincs szükség admin jogra
  • nincs szükség speciális eszközre
  • egy normál Git kliens elegendő

👉 ez teszi igazán veszélyessé


Mit érhetett el a támadó?

Sikeres kihasználás esetén:

  • távoli kódfuttatás backend rendszereken
  • hozzáférés repository-khoz
  • konfigurációs adatok megszerzése
  • credentialök és titkok kiszivárgása

👉 vállalati környezetben:

teljes szerver kompromittálás


Kik fedezték fel?

A hibát a Wiz Research kutatói találták meg.

👉 külön érdekesség:

AI-t is használtak az elemzéshez


Miért ennyire kritikus?

A GitHub:

  • multi-tenant rendszer
  • közös infrastruktúrát használ

👉 ez azt jelenti:

egy támadás több szervezetet is érinthet egyszerre


Hogyan működött a támadás?

A probléma egy belső feldolgozási folyamatban volt:

👉 Git push → belső pipeline → metaadat feldolgozás

A támadó:

  • manipulált adatot küldött
  • nem megfelelően szűrt inputot használt
  • felülírta a biztonsági beállításokat

A támadás lépései

  1. sandbox védelem kikapcsolása
  2. futtatási útvonal átirányítása
  3. rosszindulatú kód futtatása

👉 eredmény:

privilegizált rendszerfiókkal futó kód


Mi volt a hiba gyökere?

Több tényező együtt:

  • input validáció hiánya
  • belső adatok túlzott bizalma
  • „last-write-wins” logika
  • több szolgáltatás közötti inkonzisztencia

👉 klasszikus modern architektúra probléma


GitHub reakciója

A GitHub:

  • 6 órán belül javította a cloud rendszert
  • kiadta a GHES frissítéseket
  • koordináltan publikálta a hibát

👉 gyors reakció, de…


Probléma: lassú frissítés

A kutatók szerint:

👉 a GitHub Enterprise Server példányok 88%-a nem volt frissítve

👉 ez hatalmas kockázat


Érintett verziók (javított)

Frissíteni kell legalább:

  • 3.14.24
  • 3.15.19
  • 3.16.15
  • 3.17.12
  • 3.18.6
  • 3.19.3+

Mit kell tenni azonnal?

🔴 Kritikus:
  • azonnali frissítés
  • patch ellenőrzés

🟡 Ellenőrzés:
  • Git aktivitás audit
  • log elemzés
  • repository integritás vizsgálat

🟢 Védelem:
  • hook-ok korlátozása
  • CI/CD biztonság erősítése
  • hozzáférések minimalizálása

AI szerepe a felfedezésben

Ez az eset új korszakot mutat:

👉 AI segített:

  • reverse engineeringben
  • protokoll elemzésben
  • exploit útvonal feltárásban

👉 a jövőben ez felgyorsítja:

  • hibák felfedezését
  • de a támadásokat is

Nagyobb tanulság

Ez a sérülékenység rávilágít:

👉 a modern rendszerek legnagyobb gyengesége
a komponensek közötti bizalom

És:

👉 egy apró hiba → globális hatás


Összegzés

A CVE-2026-3854:

  • az egyik legsúlyosabb GitHub sérülékenység
  • egyszerűen kihasználható
  • több millió repository-t érinthet

👉 legfontosabb:

azonnali frissítés és audit.

Az oldal tartalma nem másolható!