Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Критична ранливост во GitHub изложи милиони репозиториуми

Објавено: 29.04.2026

Ранливост за далечинско извршување на код, означена како CVE-2026-3854, беше откриена дека влијае на GitHub.com и GitHub Enterprise Server.

Истражувачи од компанијата за cloud безбедност Wiz открија критична ранливост во GitHub која изложила милиони репозиториуми.

Ранливоста, следена како CVE-2026-3854, ја зафатила внатрешната Git инфраструктура на платформата за хостирање код. Таа влијаела и на GitHub Enterprise Server и на GitHub.com.

„Со искористување на injection пропуст во внатрешниот протокол на GitHub, секој автентициран корисник можел да изврши произволни команди на backend серверите на GitHub со само една ‘git push’ команда – користејќи ништо повеќе од стандарден git клиент,“ објасни Wiz.

Според безбедносната компанија, која ја открила ранливоста со помош на вештачка интелигенција, нејзината експлоатација е лесна.

Кај GitHub Enterprise Server, напаѓач може да ја искористи ранливоста за целосно компромитирање на серверот и да добие пристап до сите репозиториуми и внатрешни тајни.

Влијанието било уште поголемо кај GitHub.com, каде CVE-2026-3854 можела да се искористи за далечинско извршување на код на споделени storage јазли.

„На GitHub.com, оваа ранливост овозможуваше remote code execution на споделени storage јазли. Потврдивме дека милиони јавни и приватни репозиториуми на други корисници и организации биле достапни на засегнатите јазли,“ изјави Wiz.

Иако барањето за автентикација може да изгледа како намалување на ризикот, GitHub објасни дека секој корисник со ‘push’ пристап до репозиториум – дури и до сопствен – можел да ја искористи ранливоста за извршување произволни команди на серверот.

GitHub брзо ја отстрани ранливоста. Компанијата спровела форензичка анализа и утврдила дека нема докази за нејзина злоупотреба во реални напади.

Покрај GitHub.com и GitHub Enterprise Server, безбедносниот пропуст ги засегнал и GitHub Enterprise Cloud, GitHub Enterprise Cloud with Data Residency и GitHub Enterprise Cloud with Enterprise Managed Users.

Ранливоста била пријавена до GitHub на 4 март, а поправката за GitHub.com била имплементирана истиот ден.

Пач за Enterprise Server бил достапен на 10 март. Сепак, Wiz во вторникот објави дека 88% од инстанците на Enterprise Server сè уште не се ажурирани на верзија со поправка.

Техничките детали за CVE-2026-3854 се објавени од Wiz, а GitHub ги опиша чекорите што ги презел и процесот за справување со вакви ранливости.

Извори:

  • SecurityWeek – Critical GitHub Vulnerability Exposed Millions of Repositories SecurityWeek