CVE-2026-3854

Nome do Software Vulnerável e Versões Afetadas GitHub Enterprise Server versões anteriores a 3.14.25 GitHub Enterprise Server versões anteriores a 3.15.20 GitHub Enterprise Server versões anteriores a 3.16.16 GitHub Enterprise Server versões anteriores a 3.17.13 GitHub Enterprise Server versões anteriores a 3.18.8 GitHub Enterprise Server versões anteriores a 3.19.4 GitHub Enterprise Server versões anteriores a 3.20.0

Description Uma neutralização inadequada de elementos especiais permite que um invasor autenticado com acesso de push a um repositório consiga a execução remota de código na instância. Durante uma operação de git push, os valores de opção de push fornecidos pelo usuário não são devidamente sanitizados antes de serem incluídos nos cabeçalhos de serviço internos. Especificamente, o proxy babeld incorpora essas opções no cabeçalho X-Stat sem sanitizar pontos e vírgulas (;), que servem como caracteres delimitadores. Isso permite que um invasor injete e substitua campos de metadados internos, como rails env, custom hooks dir e repo pre receive hooks, ignorando o sandbox e executando comandos arbitrários via hooks de pré-recebimento como o usuário do serviço git.

No GitHub Enterprise Server, isso pode levar ao comprometimento total do servidor, incluindo acesso a todos os repositórios hospedados e segredos internos. Na plataforma em nuvem, o problema permitiu a execução remota de código em nós de armazenamento compartilhado, expondo potencialmente milhões de repositórios públicos e privados por meio de exposição cross-tenant. Investigações forenses não encontraram evidências de exploração no mundo real antes da correção.

Recommendations Atualize para a versão 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 ou superior. Como medida paliativa temporária, evite executar operações de git push, especialmente aquelas que utilizam a flag -o ou opções de push personalizadas, até que o sistema seja atualizado.