Die Schwachstelle CVE-2026-3854 basierte auf einem Injection-Fehler in Githubs internem Protokoll. Laut Wiz-Analysten war die Exploitation einfach und erforderte lediglich einen Standard-Git-Client. Der Unterschied zwischen den Plattformen war erheblich: Auf GitHub Enterprise Server hätte ein Angreifer das gesamte System kompromittieren und Zugriff auf alle Repositories sowie interne Geheimnisse erlangen können. Auf GitHub.com war die Auswirkung noch gravierender – die Lücke ermöglichte Remote-Code-Execution auf gemeinsamen Speicherknoten. Wiz bestätigte, dass Millionen öffentlicher und privater Repositories von anderen Nutzern und Organisationen auf den betroffenen Knoten zugänglich waren.
Obwohl GitHub betonte, dass eine Authentifizierung erforderlich war, relativierte dies das Risiko nicht entscheidend: Jeder Nutzer mit Push-Zugriff – auch auf selbsterstellte Repositories – konnte die Lücke ausnutzen. Dies bedeutet, dass auch Entwickler mit minimalen Berechtigungen in größeren Organisationen zum Angriffsvehikel werden konnten.
Die Entdeckung gelang Wiz mithilfe von KI-Technologien, was zeigt, dass automatisierte Sicherheitsanalysen zunehmend wirksam beim Aufspüren kritischer Schwachstellen werden. GitHub kündigte an, dass es eine forensische Untersuchung durchgeführt hatte und zu dem Ergebnis kam, dass die Lücke nicht in der Wildnis ausgenutzt wurde.
Betroffen waren neben GitHub.com und GitHub Enterprise Server auch GitHub Enterprise Cloud, GitHub Enterprise Cloud with Data Residency und GitHub Enterprise Cloud with Enterprise Managed Users. Die vollständige technische Offenlegung durch Wiz und Githubs Erklärung zur Handhabung solcher Sicherheitslücken unterstreichen die Bedeutung transparenter Kommunikation in der Branche. Dennoch bleibt die Tatsache beunruhigend, dass fast neun von zehn Enterprise-Server-Installationen wochen nach der Patch-Verfügbarkeit noch anfällig waren – ein klassisches Patch-Management-Problem, das viele deutsche Unternehmen kennen.