IT之家4月29日消息，安全机构Wiz Research昨日(4月28日)发布博文，披露GitHub存在严重漏洞CVE-2026-3854。攻击者仅需一条标准git push命令，即可触发远程代码执行，进而访问数百万公共和私有仓库。

该漏洞追踪编号为CVE-2026-3854，任何经过身份验证的用户只需执行标准的git push命令，就能在GitHub后端服务器上执行任意代码。

GitHub远程代码执行漏洞CVE-2026-3854

该漏洞源于GitHub内部X-Stat标头的注入缺陷。X-Stat是一个用分号分隔的协议，负责在内部服务间传递安全元数据。

当用户运行带有选项的git push命令后，GitHub的babeld代理会直接将用户提供的字符串嵌入X-Stat标头，且未过滤分号。

由于标头解析器采用“最后写入生效”逻辑，攻击者只需注入分号和字段名，就能悄悄覆盖服务器已设定的安全配置。研究员将三个注入字段串联，成功实现完整的远程代码执行。

根据博文披露的攻击路径，为了绕过生产沙箱，攻击链首先覆盖rails_env字段，接着通过custom_hooks_dir重定向钩子脚本目录。

最后，攻击者利用repo_pre_receive_hooks投递路径遍历有效载荷，迫使系统以git服务用户身份执行任意安装文件，从而获取完整的文件系统访问权限。

在 GitHub企业版服务器(GHES)上，这会导致服务器完全沦陷。而在GitHub.com上，攻击者注入额外标志触发企业模式行为后，同样能入侵共享存储节点。这些节点托管着数百万账户仓库，攻击者借此可读取任意代码数据。

GitHub在接获报告后6小时内修复了云端平台，并发布GHES补丁。然而Wiz警告，目前仍有88%的GHES实例未升级，管理员必须立即更新至3.19.3或更高版本。

此次漏洞挖掘过程使用了AI辅助逆向工程工具IDA MCP，这是安全界首次利用AI工具在闭源安装文件中发现如此严重的底层漏洞，证明AI技术正在重塑复杂的安全研究工作流。

IT之家附上参考地址

• Securing GitHub:Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise（EFSC） Server(CVE-2026-3854)