Début mars, GitHub a corrigé une vulnérabilité critique de remote code execution (CVE-2026-3854), qui aurait pu permettre à des attaquants d’accéder à des millions de dépôts privés.
Ce problème a été signalé le 4 mars 2026 par des chercheurs de la société de cybersécurité Wiz via le programme de bounty de GitHub. Alexis Wales, le directeur de la sécurité de l’information de GitHub, a indiqué que l’équipe de sécurité avait reproduit et confirmé la vulnérabilité en moins de 40 minutes et déployé un correctif sur GitHub.com en moins de deux heures après avoir reçu le rapport.
CVE-2026-3854 touche plusieurs services, notamment GitHub.com, GitHub Enterprise Cloud, ainsi que diverses variantes de GitHub Enterprise Server.
Pour que l’exploitation soit possible, il suffit d’une commande ‘git push’ malveillante, qui peut accorder un accès complet en lecture et écriture aux dépôts privés sur GitHub.com ou aux serveurs GitHub Enterprise vulnérables à des attaquants ayant un accès de push.
La vulnérabilité réside dans la gestion des options fournies par les utilisateurs lors des opérations de git push, les valeurs insérées étant intégrées dans les métadonnées internes du serveur sans une sanitation suffisante, ce qui permet aux attaquants d’injecter des champs supplémentaires de confiance pour le service en aval.
Comme l’a expliqué Wales, un attaquant pourrait contourner les protections de confinement et exécuter du code arbitraire sur le serveur traité grâce à une chaîne de valeurs injectées.
Un représentant de Wiz a déclaré que cette vulnérabilité pourrait exposer les bases de code de presque toutes les grandes entreprises mondiales, en faisant l’une des vulnérabilités SaaS les plus graves jamais découvertes.
Sur GitHub.com, cette faille a permis l’exécution de code à distance sur des nœuds de stockage partagés. Les chercheurs ont confirmé que des millions de dépôts publics et privés d’autres utilisateurs et organisations étaient accessibles depuis les nœuds affectés. Sur GitHub Enterprise Server, la même vulnérabilité permet une compromission complète du serveur, ce qui inclut l’accès à tous les dépôts hébergés et à des secrets internes.
Tzadik a également averti que, bien que GitHub ait corrigé rapidement cette vulnérabilité sur GitHub.com, les administrateurs de GitHub Enterprise Server devaient mettre à niveau immédiatement, car près de 88% des instances accessibles demeurent vulnérables.
Cependant, malgré la gravité de la faille, une enquête judiciaire n’a révélé aucune preuve d’exploitation avant la divulgation par Wiz, et GitHub a confirmé que les données de télémétrie indiquaient que chaque instance du chemin de code anormal déclenché par la vulnérabilité était uniquement attribuable aux tests des chercheurs de Wiz.
Wales a ajouté qu’aucun autre utilisateur ou compte n’avait déclenché le chemin de code utilisé pour exploiter cette vulnérabilité, et qu’aucune donnée client n’avait été accédée, modifiée ou exfiltrée en raison de l’exploitation de CVE-2026-3854 avant le déploiement des patchs sur GitHub.com.
Pour GitHub Enterprise Server, nous avons préparé des correctifs pour toutes les versions supportées (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 ou plus récentes) et publié CVE-2026-3854, a annoncé Wales. Ces correctifs sont disponibles dès aujourd’hui et nous recommandons fortement à tous les clients de GHES de procéder à une mise à niveau immédiatement.