Tim istraživača iz kompanije Wiz otkrio je ozbiljnu ranjivost u GitHub-ovoj git infrastrukturi koja omogućava udaljenim napadačima da steknu potpuni pristup privatnim GitHub repozitorijumima uz samo jedan komandu.
Ovo otkriće bi moglo označiti prekretnicu u načinu na koji se ranjivosti otkrivaju u zatvorenim softverima, prema rečima istraživača iz Google-ove bezbednosne firme.
Wiz je u utorak objavio svoja saznanja o CVE-2026-3854, koja je ocenjena sa 8.8 na CVSS skali.
Tokom dve godine rada na GitHub-u, istraživači su smatrali da je obrnuto inženjerstvo previše kompleksno zbog obima internih binarnih datoteka. Međutim, korišćenjem alata poput Claude Code, uspeli su da skrate vreme od ideje do funkcionalnog eksploita na manje od 48 sati.
„Iskorišćavajući alate podržane veštačkom inteligencijom, posebno automatizovano obrnuto inženjerstvo, mogli smo da uradimo ono što je ranije bilo preskupo“, naveli su na blogu Wiz-a. „Brzo smo analizirali GitHub-ove kompajlirane binarne datoteke, rekonstruisali interne protokole i sistematski identifikovali gde korisnički ulaz može uticati na ponašanje servera kroz ceo sistem.“
Objašnjenje ranjivosti
Wiz je pružio tehnički pregled kako ranjivost funkcioniše, a osnovni problem leži u tome što interni servisi GitHub-a slepo veruju korisničkim unosima prilikom obrade push zahteva. Opcije push-a su namerno dizajnirana funkcija git protokola koja služi za slanje ključ-vrednost stringova serveru, a te opcije se pakuju u interne X-Stat HTTP zaglavlja.
Međutim, ranjivost je iskoristila način na koji su vrednosti unosa push opcija slepo poverene i uključene u internu metapodatke push zahteva. Ključni deo je da su metapodaci odvojeni karakterom delimiter – null byte, koji korisnici takođe mogu uneti u push opcije. Napadač bi mogao iskoristiti ovaj delimiter u svom push zahtevu da prevari server da ga prihvati kao poverenu internu vrednost.
Reakcija GitHub-a
Nakon otkrića, GitHub je reagovao brzo i izdao ispravke ranjivosti u roku od šest sati, kao i implementirao dodatne mere zaštite kako bi sprečio slične ranjivosti u budućnosti. Potvrđeno je da nijedan napadač nikada nije izvršio napad na GitHub.com, ali su savetovali korisnicima GitHub Enterprise Server-a da provere svoje pristupne logove za znakove zloupotrebe.
GitHub-ova CISO, Alexis Wales, zahvalila je timu Wiz na otkriću i nagradila ih jednom od najvećih isplata u istoriji programa nagrađivanja za otkrivanje grešaka.
Ova ranjivost, iako nije u najvišoj kategoriji kritičnih ranjivosti, smatra se veoma uticajnom i važnom. GitHub je poznat po tome što dodeljuje nagrade između 20.000 i 30.000 dolara za kritične ranjivosti, ali je poznato da ponekad dodeljuju i veće iznose za posebno uticajne greške.
