Kritische Git-Push-Lücke auf GitHub geschlossen

Am 4. März 2026 erreichte GitHub ein kritischer Vulnerability-Report über das Bug-Bounty-Programm von Wiz-Forschern. Die Schwachstelle erlaubte Remote Code Execution (RCE) auf GitHub-Servern durch einen einzigen git-push-Befehl mit manipulierten Push-Optionen. Betroffen waren github.com, GitHub Enterprise Cloud und GitHub Enterprise Server.

Der Angriff nutzte unzureichende Sanitierung von Push-Option-Werten aus. Die Benutzer-Eingaben wurden ohne ausreichende Validierung in interne Metadaten integriert. Da das interne Metadaten-Format ein Trennzeichen verwendete, das auch in Benutzereingaben vorkommen konnte, ließen sich zusätzliche Felder injizieren, die Downstream-Services als vertrauenswürdig interpretierten. Durch Chaining mehrerer injizierter Werte konnten Angreifer die Verarbeitungsumgebung überschreiben, Sandbox-Schutzmechanismen umgehen und beliebige Befehle auf dem Server ausführen.

GitHub reagierte innerhalb von zwei Stunden: Um 17:45 UTC wurde die Lücke intern bestätigt, um 19:00 UTC war der Fix auf github.com live. Für alle GHES-Versionen (3.14-3.20) wurden Patches bereitgestellt und CVE-2026-3854 veröffentlicht. Die forensische Untersuchung ergab keine Hinweise auf Ausnutzung vor dem Report. Die Lücke erzwingt einen Code-Pfad, der im normalen Betrieb nie verwendet wird – und dieser Pfad wurde geloggt. Die Telemetrie zeigte keine Anomalien.

Die Lehren: Sanitierung auch bei internen Protokollen streng durchziehen, Push-Optionen nicht blind vertrauen, und forensische Telemetrie für anomale Code-Pfade aufsetzen.

Quelle: GitHub Blog