april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
FÖRETAGSNYHETER
mobile-menu-icon
Sårbarheter

Ett enda git push kunde kompromettera miljontals GitHub-repositorier

Date april 30, 2026 / 5 Lästid
Single Git Push Could Have Compromised Millions of GitHub Repositories

En sårbarhet för kommandoinjektion i GitHubs git push-pipeline hade kunnat föra det möjligt för angripare att köra godtycklig kod på GitHubs servrar och få åtkomst till miljpntals repositorier med ett enda skadligt kommando. Säkerhetsförskare från Wiz upptäckte sårbarheten, identifierad som CVE-2026-3854, den 4 mars 2026 och rapporterade den via GitHubs Bug Bounty-program. GitHub åtgärdade problemmet på GitHub.com inom två timmar, men nästan två månader senare är enligt Wiz data fortfarande 88 procent av alla GitHub Enterprise Server-instanserna sårbara.

Sårbarheten påverkar GitHub.com, GitHub Enterprise Cloud samt flera versioner av GitHub Enterprise Server. Den har ett CVSS-värde på 8,7 och kräver endast push-åtkomst till ett repositorium – även om ett som angriparen själv har skapat. Det krävs inga zero-days-exploits eller avancerad skadlig kod, utan en vanlig git-klient och en specialutformad push-parameter som innehåller ett semikolon räcker.

Hur ett semikolon kringgick säkerheten

Problemet finns i GitHubs interna X-Stat-header, ett metadataformat där fält separeras med semikolon och som används för att skicka säkerhetskritisk konfiguration mellan backend-tjänster under git-operationer. När en användare pushar kod bäddas push-parametrar in direkt i detta protokoll utan tillräcklig validering.

Wiz-forskaren Sagi Tzadik visade att en angripare kunde injicera extra fält i X-Stat-headern genom att inkludera ett semikolon i sina push-parametrar. Detta gjorde det möjligt att skriva överk ritiska säkerhetsinställningar,blad annat genom att tvinga GitHubs git hooks att köra i ett osäkert ”enterprise mode” som kringgår sandboxing-skydd.

På GitHub Enterprise Server kunde en lyckad exploatering ge full kontroll över insatsen. Enligt Tzadik innebär detta bland annat läs- och skrivåtkomst till filsystemet samt insyn i intern tjänstekonfiguration.

Konsekvenserna för GitHub.com var potentiellt ännu allvarligare. Eftersom plattformen bygger på en multi-tenant-arkitektur kunde kodkörning på delade lagringsnoder ge åtkomst till andra användares och organisationers repositorier. Wiz bekräftade att de kunde läsa indexdata från repositorier över den delade infrastrukturen – exakt den typ av intrång som molnplattformar är utformade för att förhindra.

Många Enterprise-servrar är fortfarande sårbara

GitHub släppte patchar för Enterprise Server-versionerna 3.14 till 3.20 den 10 mars 2026. Företaget genomförde en forensisk analys och uppgav att sårbarheten inte utnyttjades utanför Wiz egna tester. GitHubs CISO, Alexis Wales uppgav att ingen kunddata ska ha blivit åtkommen, ändrad eller exfiltrerad.

Trots detta visar Wiz skanningsdata att 88 procent av Enterprise Server-instanserna ännu inte har uppdaterats. Det innebär att många installationer fortfarande är exponerade för en sårbarhet som är relativt enkel att utnyttja.

GitHubs rekommederar administratörer att granska auditloggar, särskilt filen /var/log/github-audit.log, efter push-operationer som innehåller semikolon i push-parametrar- något som kan tyda på exploateringsförsök.

Den långsamma patchningen tyder på att vissa organisationer antingen underskattat allvaret eller saknar effektiva rutiner för att snabbt hantera kritiska säkerhetsuppdateringar. CVE-2026-3854 resulterade i en av de högsta belöningarna i GitHubs Bug Bounty-program, vilket understryker hur allvarlig den bedömdes vara.

AI bidrog till upptäckten

Wiz använde AI-stödd reverse engineering för att analysrea GitHubs kompilerade binärer och återskapa interna protokoll. Genom denna metod kunde forskarna identifiera hur användarinmatning påverkar serverbeteenden i GitHubs distribuerade tjänstearkitektur – en uppgift som annars hade varit mycket tidskrävande att utföra manuellt.

Detta pekar på en förändring inom sårbarhetsanalys. Att hitta allvarliga brister i sluten källkod har traditionellt krävt tillgång till källkod eller omfattande manuellt arbete. Med AI-stödda verktyg blir denna typ av analys mer tillgänglig, vilket sannolikt kommer att leda till att flera kritiska sårbarheter upptäcks i enterpriseprogramvara.

Tidslinjen för avslöjandet visar att både Wiz och GitHub agerade snabbt. Wiz rapporterade sårbarheten kl 14:00 UTC den 4 mars. GitHub bekräftade problemet 40 minuter senare och distribuerade en fix till GitHub.com inom 75 minuter från rapporteringen – en ovanlig snabb åtgärd för en sårbarhet av denna komplexitet.

Återgärder: Patcha eller begränsa åtkomst

Organisationer som använder GitHub Enterprise Server bör uppdatera till den senaste patchnivån omedelbart. Sårbarheten påverkar versionen 3.14 och senare, GitHub har släppt korrigeringar för alla stödda versioner. Version 3.19.3 drogs tillfälligt tillbaka av operativa skäl, så administratörer bör installera den senaste tillgängliga patchen för sin version.

Om det inte är möjligt att uppdatera direkt bör åtkomsten begränsas. Det kan till exempel innebära att minska nätverkstillgången till instansen eller att tillfälligt stänga av möjligheten att skapa nya respositorier. Eftersom sårbarheten kräver push-åtkomst kan sådana åtgärder minska risken tills en patch är på plats.

Slutligen bör auditloggar granskas för misstänkta push-operationer från början av mars och framåt. Wiz har även publicerat ett verktyg smed öppen källkod för att identifiera tecken på intrång kopplade till CVE-2026-3854. Kör detta både före och efter patchning för att säkerställa att systemet inte har komprometterats.

Referenser

  1. GitHub RCE Vulnerability CVE-2026-3854 Breakdown
  2. Securing the Git Push Pipeline
  3. Critical GitHub Vulnerability Exposed Millions of Repositories
  4. Critical GitHub CVE-2026-3854 RCE Flaw
  5. 88% of Self-Hosted GitHub Servers Exposed to RCE

This post is also available in: English

Related News


Microsoft Defender Targeted by Three Zero-Days, Two Remain Unpatched

Microsoft Defender drabbat av tre zero-days – två fortfarande opatchade

calendar april 24, 2026
Adobe Reader Zero-Day Exploited for Weeks Before Patch Existed

Adobe Reader zero-day utnyttjad i fyra månader före patch

calendar april 9, 2026
BlueHammer Windows Zero-Day Exploited Six Weeks Before Microsoft Knew

BlueHammer Windows zero-day utnyttjad sex veckor innan Microsoft visste

calendar april 9, 2026
Ninja Forms File Upload Flaw Lets Attackers Hijack 50,000 WordPress Sites

Kritisk sårbarhet i Ninja Forms hotar 50 000 WordPress-sajter

calendar april 8, 2026
AI-Driven Supply Chain Attack Compromises 500 GitHub Repositories in Six-Week Campaign

AI-drivet angrepp mot leverantörskedjan komprometterade 500 GitHub-repositories på sex veckor

calendar april 7, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.