GitHub 内部 git 基础设施远程代码执行漏洞(CVE-2026-3854)影响 GHES 与 GitHub.com
Wiz Research 发现 GitHub 内部 git 基础设施的关键漏洞 CVE-2026-3854。攻击者只需一次 git push,即可通过注入 X-Stat 头字段,在 GitHub Enterprise Server 上完全接管服务器,或在 GitHub.com 的共享存储节点上远程执行代码,并已确认可访问节点上其他用户和组织的数百万仓库。漏洞源于多个内部服务对协议字段解析的假设不一致。GitHub 在收到报告后 6 小时内修复了 GitHub.com,并已发布 GHES 补丁(需升级至 3.19.3),但截至文章发布时仍有 88% 的实例未修复。
附件内容本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途。本站所有信息均来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权不妥之处请致信 E-mail:[email protected] 我们会积极处理。敬请谅解!
|