Kritische GitHub-Lücke gab Millionen Repositories preis

Zusammenfassung

Sicherheitsforscher des Cloud-Security-Unternehmens Wiz haben eine kritische Schwachstelle in GitHub aufgedeckt, durch die Millionen von Repositories zugänglich waren. Die als CVE-2026-3854 geführte Lücke erlaubte die Ausführung von Schadcode aus der Ferne (Remote Code Execution) und betraf die interne Git-Infrastruktur der Code-Hosting-Plattform. Verwundbar waren sowohl GitHub.com als auch GitHub Enterprise Server. Laut Wiz konnte jeder authentifizierte Nutzer eine Injection-Schwachstelle im internen Protokoll von GitHub ausnutzen, um mit einem einzigen git-push-Befehl beliebige Kommandos auf den Backend-Servern auszuführen – und das allein mit einem gewöhnlichen Git-Client. Das Sicherheitsunternehmen, das die Lücke mithilfe von KI fand, stuft die Ausnutzung als einfach ein. Auf GitHub.com ließ sich die Schwachstelle für die Codeausführung auf gemeinsam genutzten Speicherknoten missbrauchen; nach Angaben von Wiz waren dort Millionen öffentlicher und privater Repositories anderer Nutzer und Organisationen erreichbar. GitHub hat die Lücke inzwischen behoben und in einer forensischen Untersuchung festgestellt, dass sie nicht aktiv ausgenutzt wurde.

Die von Wiz beschriebene Schwachstelle setzt an der internen Git-Infrastruktur von GitHub an. Über eine Injection-Lücke im internen Protokoll der Plattform konnte ein angemeldeter Nutzer mit einem einzigen git-push-Befehl beliebige Kommandos auf den Backend-Servern ausführen. Dafür genügte ein handelsüblicher Git-Client; besondere Werkzeuge waren nicht erforderlich. Wiz, das die Lücke nach eigenen Angaben mithilfe von KI aufspürte, bewertet die Ausnutzung als einfach.

Die Folgen unterschieden sich je nach Plattform. Beim GitHub Enterprise Server ließ sich der Server vollständig kompromittieren, samt Zugriff auf sämtliche Repositories und interne Geheimnisse. Auf GitHub.com fiel die Wirkung noch größer aus: Hier erlaubte CVE-2026-3854 die Codeausführung auf gemeinsam genutzten Speicherknoten. Wiz bestätigte, dass auf den betroffenen Knoten Millionen öffentlicher und privater Repositories anderer Nutzer und Organisationen zugänglich waren.

Dass ein Angreifer authentifiziert sein musste, mindert das Risiko nur scheinbar. GitHub erklärte, dass jeder Nutzer mit Schreibzugriff (Push-Zugriff) auf ein Repository – auch auf ein selbst angelegtes – die Lücke ausnutzen und beliebige Befehle auf dem Server ausführen konnte.

Neben GitHub.com und GitHub Enterprise Server waren auch GitHub Enterprise Cloud, GitHub Enterprise Cloud mit Data Residency sowie GitHub Enterprise Cloud mit Enterprise Managed Users betroffen.

GitHub reagierte rasch. Die Schwachstelle wurde dem Unternehmen am 4. März gemeldet, und noch am selben Tag wurde ein Fix für GitHub.com ausgerollt. Ein Patch für den Enterprise Server folgte am 10. März. Wiz berichtete jedoch, dass 88 Prozent der Enterprise-Server-Instanzen noch nicht auf eine gepatchte Version aktualisiert worden waren.

Eine forensische Untersuchung von GitHub ergab, dass die Lücke nicht in freier Wildbahn ausgenutzt wurde. Die technischen Details zu CVE-2026-3854 hat Wiz offengelegt; GitHub hat seinerseits die ergriffenen Maßnahmen und sein Vorgehen beim Umgang mit derartigen Schwachstellen dargestellt.

Kritische GitHub-Lücke gab Millionen Repositories preis

Ähnliche Artikel

Neueste Artikel