En début de mois, la plateforme GitHub a été informée d’une faille de sécurité critique par les chercheurs de la société de cybersécurité Wiz. Référencée CVE-2026-3854, cette vulnérabilité affectait aussi bien GitHub.com que les versions auto-hébergées de GitHub Enterprise Server.
La menace était de taille, puisqu’un attaquant disposant d’un simple accès en écriture à un dépôt pouvait exécuter des commandes arbitraires sur l’infrastructure de GitHub. Une porte ouverte à l’accès non autorisé à des millions de dépôts de code, y compris ceux de grandes entreprises.
Quel était le mécanisme de cette vulnérabilité ?
Le problème résidait dans la manière dont GitHub traitait les options de la commande git push. Un attaquant pouvait utiliser une commande spécialement conçue pour injecter des champs malveillants dans les métadonnées internes du serveur.
En l’occurrence, un caractère délimiteur point-virgule pouvait être exploité pour tromper le système avec des entrées utilisateur. GitHub détaille qu’en enchaînant plusieurs valeurs injectées, les chercheurs ont démontré qu’un attaquant était en capacité de contourner les protections de sandboxing et obtenir une exécution de code à distance sur le serveur.
Cette technique permettait de modifier l’environnement de traitement de la commande, de rediriger les répertoires de scripts et d’exécuter des commandes arbitraires avec les privilèges de l’utilisateur git.
Sur GitHub.com, l’impact était encore plus large en raison de l’architecture partagée, rendant potentiellement accessibles les dépôts d’autres utilisateurs et entreprises avec un hébergement sur le même nœud de stockage.
Plus de peur que de mal au final
Moins de 40 minutes après le signalement et la divulgation responsable, la vulnérabilité critique a été confirmée en interne par GitHub. Un correctif a été développé et déployé sur GitHub.com en moins de deux heures le même jour.
GitHub précise que l’enquête post-incident a permis d’établir qu’aucune donnée client n’a été consultée, modifiée ou exfiltrée. L’exploitation de la faille laissait une trace très spécifique, et toutes les occurrences détectées correspondaient aux activités de test des chercheurs de Wiz.
De quoi rassurer au sujet d’une éventuelle exploitation malveillante avant la correction du problème. La découverte de la faille a été récompensée par l’un des plus hauts montants du programme de Bug Bounty de la plateforme.
Du code superflu a été supprimé
Au-delà du correctif immédiat, l’enquête a révélé qu’une partie du code permettant l’exploit n’aurait jamais dû être présente dans l’environnement de production. GitHub a fait le ménage pour limiter la surface d’attaque face à de futures vulnérabilités similaires.
Pour les administrateurs de GitHub Enterprise Server, l’action est immédiate. GitHub a publié des correctifs pour toutes les versions supportées et recommande vivement de procéder à la mise à niveau dès que possible.