SchwachstellenHackerangriffeCloud-Sicherheit

Kritische GitHub-Sicherheitslücke CVE-2026-3854: Remote Code Execution per Git Push

Von CyberDeutsch Redaktion
Kritische GitHub-Sicherheitslücke CVE-2026-3854: Remote Code Execution per Git Push
Zusammenfassung

Eine kritische Sicherheitslücke in GitHub gefährdet Millionen von Entwicklern und Unternehmen weltweit. Die als CVE-2026-3854 bezeichnete Remote-Code-Execution-Schwachstelle ermöglicht es authentifizierten Nutzern, durch einen simplen „git push"-Befehl beliebige Befehle auf GitHub-Servern auszuführen. Das Sicherheitsunternehmen Wiz entdeckte die Lücke, die auf unzureichender Validierung von Git-Push-Optionen basiert und eine Befehlseinspritzung ermöglicht. Die Schwachstelle betrifft sowohl GitHub.com als auch GitHub Enterprise Server und ermöglicht Angreifern mit Push-Zugriff, die Sandbox-Schutzmaßnahmen zu umgehen. Besonders kritisch: Bei GitHub.com könnte ein Angreifer durch die Multi-Tenant-Architektur Zugriff auf Millionen von Repositories verschiedener Organisationen erhalten. Mit einem CVSS-Score von 8,7 gilt dies als kritische Bedrohung. Für deutsche Entwickler, Unternehmen und Open-Source-Projekte stellt dies ein erhebliches Risiko dar, da viele auf GitHub ihre Codes hosten. Besonders Unternehmen mit GitHub Enterprise Server müssen sofort ihre Systeme patchen, um Datenverlust, Codemanipulation und Sabotage zu verhindern. GitHub hat bereits Sicherheitsupdates bereitgestellt.

Bei der Sicherheitslücke handelt es sich um einen Command-Injection-Fehler, der in der Verarbeitung von Git-Push-Optionen liegt. Das Problem entsteht dadurch, dass benutzerdefinierte Push-Option-Werte nicht ausreichend validiert werden, bevor sie in interne Service-Header integriert werden. Genauer gesagt wird bei diesem Prozess ein Semikolon als Trennzeichen verwendet – ein Zeichen, das auch in Benutzereingaben vorkommen kann.

Wie GitHub-CISO Alexis Wales erklärte, können Angreifer durch geschickt verkettete injizierte Werte die Umgebung überschreiben, in der der Push verarbeitet wird, Sandbox-Schutzmaßnahmen für Hook-Ausführungen umgehen und letztendlich beliebige Befehle auf dem Server ausführen. Sagi Tzadik von Wiz demonstrierte, dass die Exploit-Kette drei aufeinanderfolgende Injektionen nutzt und dem Angreifer mit Ausführungsrechten als Git-Benutzer vollständige Kontrolle über die GHES-Instanz verschafft – inklusive Dateisystem-Zugriff und Zugriff auf interne Service-Konfigurationen.

Besonders kritisch ist die Situation bei GitHub.com: Während GitHub Enterprise Server anfällig ist, kann auch GitHub.com exploitet werden, da ein Enterprise-Mode-Flag ebenfalls über den X-Stat-Header injizierbar ist. Dies führt zu einer Multi-Tenant-Exposition, bei der Angreifer auf alle Repositories eines Speicherknotens zugreifen können – unabhängig von Organisation oder Benutzer. Bei der Disclosure waren etwa 88% der Instanzen verwundbar.

GitHub hat Patches für mehrere Versionen bereitgestellt: Enterprise Server 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4 und 3.20.0 oder später. GitHub.com wurde bereits innerhalb von zwei Stunden nach Meldung durch Wiz gepatcht. Es gibt bislang keine Hinweise auf böswillige Ausnutzung in der Praxis.

Für deutsche Organisationen ergibt sich daraus eine doppelte Dringlichkeit: Unternehmen mit GitHub Enterprise Server sollten unverzüglich auf die empfohlenen Versionen aktualisieren, um DSGVO-Konformität und Datensicherheit zu gewährleisten. Verstöße gegen Sicherheitsmaßnahmen können zu erheblichen Bußgeldern führen. Gleichzeitig zeigt dieser Fall ein fundamentales Designproblem in Systemen mit mehreren Services, die über gemeinsame interne Protokolle kommunizieren – eine Erkenntnis, die über GitHub hinausgeht.

Ähnliche Artikel