GitHub 内部 git 基础设施远程代码执行漏洞(CVE-2026-3854)影响 GHES 与 GitHub.com
Wiz Research 发现 GitHub 内部 git 基础设施的关键漏洞 CVE-2026-3854。攻击者只需一次 git push,即可通过注入 X-Stat 头字段,在 GitHub Enterprise Server 上完全接管服务器,或在 GitHub.com 的共享存储节点上远程执行代码,并已确认可访问节点上其他用户和组织的数百万仓库。漏洞源于多个内部服务对协议字段解析的假设不一致。GitHub 在收到报告后 6 小时内修复了 GitHub.com,并已发布 GHES 补丁(需升级至 3.19.3),但截至文章发布时仍有 88% 的实例未修复。
Wiz Blog
🌸 在花频道 · 茶馆讨论 · 投稿通道
Wiz Research 发现 GitHub 内部 git 基础设施的关键漏洞 CVE-2026-3854。攻击者只需一次 git push,即可通过注入 X-Stat 头字段,在 GitHub Enterprise Server 上完全接管服务器,或在 GitHub.com 的共享存储节点上远程执行代码,并已确认可访问节点上其他用户和组织的数百万仓库。漏洞源于多个内部服务对协议字段解析的假设不一致。GitHub 在收到报告后 6 小时内修复了 GitHub.com,并已发布 GHES 补丁(需升级至 3.19.3),但截至文章发布时仍有 88% 的实例未修复。
Wiz Blog
🌸 在花频道 · 茶馆讨论 · 投稿通道
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: