GitHub schließt kritische RCE-Lücke mit Zugriff auf Millionen privater Repositories

Zusammenfassung

GitHub hat Anfang März eine als kritisch eingestufte Schwachstelle zur Remotecodeausführung geschlossen, die Angreifern Zugriff auf Millionen privater Repositories hätte verschaffen können. Die unter CVE-2026-3854 geführte Lücke wurde am 4. März 2026 von Forschern der Sicherheitsfirma Wiz über das Bug-Bounty-Programm von GitHub gemeldet. Betroffen waren GitHub.com sowie mehrere Varianten von GitHub Enterprise Cloud und GitHub Enterprise Server. Für einen erfolgreichen Angriff genügte ein einziger bösartig präparierter „git push"-Befehl. Damit ließ sich vollständiger Lese- und Schreibzugriff auf private Repositories erlangen — sowohl auf GitHub.com als auch auf verwundbaren GitHub-Enterprise-Servern. Voraussetzung war lediglich, dass der Angreifer über Push-Rechte verfügte. Laut GitHubs Chief Information Security Officer Alexis Wales reproduzierte und bestätigte das Sicherheitsteam des Unternehmens die Schwachstelle innerhalb von 40 Minuten und spielte weniger als zwei Stunden nach Eingang der Meldung einen Fix auf GitHub.com ein. Ein Wiz-Sprecher bezeichnete die Lücke gegenüber BleepingComputer als eine der schwerwiegendsten jemals gefundenen SaaS-Schwachstellen.

Die Schwachstelle liegt in der Art, wie GitHub von Nutzern übergebene Optionen während eines git-push-Vorgangs verarbeitet. Die übermittelten Werte fließen ohne ausreichende Bereinigung in interne Server-Metadaten ein. Dadurch konnten Angreifer zusätzliche Felder einschleusen, denen der nachgelagerte Dienst vertraute. Durch das Verketten mehrerer eingeschleuster Werte ließen sich, wie Wales darlegte, Sandbox-Schutzmechanismen umgehen und beliebiger Code auf dem Server ausführen, der den Push verarbeitete.

Wiz beschreibt das Ausmaß als außergewöhnlich. „Ein Angriff hätte die Codebasen nahezu aller größten Unternehmen der Welt offenlegen können, was dies zu einer der schwerwiegendsten jemals gefundenen SaaS-Schwachstellen macht", erklärte ein Wiz-Sprecher. Der Wiz-Sicherheitsforscher Sagi Tzadik führte aus, dass die Lücke auf GitHub.com Codeausführung auf gemeinsam genutzten Speicherknoten erlaubte: „Wir haben bestätigt, dass auf den betroffenen Knoten Millionen öffentlicher und privater Repositories anderer Nutzer und Organisationen zugänglich waren."

Auf GitHub Enterprise Server ermögliche dieselbe Schwachstelle eine vollständige Kompromittierung des Servers, einschließlich Zugriff auf alle gehosteten Repositories und interne Geheimnisse, so Tzadik weiter.

Betroffen sind GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud mit Datenresidenz, GitHub Enterprise Cloud mit Enterprise Managed Users sowie GitHub Enterprise Server. Während GitHub das Problem auf GitHub.com innerhalb von sechs Stunden behob, mahnte Tzadik die Administratoren von GitHub Enterprise Server (GHES) zu sofortigem Handeln: Rund 88 Prozent der erreichbaren GHES-Instanzen seien weiterhin verwundbar.

Trotz der Schwere der Lücke fand eine forensische Untersuchung keine Hinweise auf eine Ausnutzung vor der Offenlegung durch Wiz. Laut GitHub belegen Telemetriedaten, dass jeder durch die Schwachstelle ausgelöste anomale Codepfad ausschließlich auf die Tests der Wiz-Forscher zurückzuführen war. Wales ergänzte, kein anderer Nutzer und kein anderes Konto habe den zur Ausnutzung verwendeten Codepfad ausgelöst; vor dem Einspielen der Patches auf GitHub.com seien keine Kundendaten abgegriffen, verändert oder entwendet worden.

Für GitHub Enterprise Server stellte das Unternehmen Patches für alle unterstützten Versionen bereit (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 oder neuer) und veröffentlichte CVE-2026-3854. „Diese stehen ab heute zur Verfügung, und wir empfehlen allen GHES-Kunden dringend, sofort zu aktualisieren", sagte Wales.

GitHub schließt kritische RCE-Lücke mit Zugriff auf Millionen privater Repositories

Ähnliche Artikel

Neueste Artikel