GitHub sotto attacco: scoperta falla critica che permette di eseguire codice sui server

Una vulnerabilità di esecuzione remota (CVE-2026-3854) mette a rischio GitHub e soprattutto le installazioni Enterprise. Chi ha accesso ai repository può compromettere interi server. GitHub ha già corretto il problema, ma milioni di istanze rimangono vulnerabili.

GitHub sotto attacco: scoperta falla critica che permette di eseguire codice sui server

Un ricercatore di Wiz ha scoperto una vulnerabilità che trasforma un semplice comando git push in un'arma per prendere il controllo dei server di GitHub. La falla, catalogata come CVE-2026-3854, consente a chiunque abbia accesso a un repository di eseguire codice arbitrario sull'infrastruttura sottostante. Su GitHub.com il danno potenziale è stato contenuto in poche ore, ma per chi usa GitHub Enterprise Server (la versione self-hosted) la situazione è più grave: secondo i dati di Wiz, l'88% delle installazioni rimane ancora vulnerabile.

Chi ha scoperto il problema

Wiz è una società di sicurezza cloud che si occupa di ricerca su vulnerabilità in ambienti cloud e infrastrutture critiche. Il team ha identificato questa falla utilizzando tecniche di AI per analizzare binari closed-source, una metodologia ancora rara nel settore. GitHub ha riconosciuto il lavoro assegnando uno dei premi più alti del suo bug bounty program.

Cosa è successo

La vulnerabilità risiede nel modo in cui GitHub elabora le opzioni di push durante un'operazione git push. Quando un utente esegue un push, può passare parametri aggiuntivi al server. Il problema: questi parametri non erano sufficientemente validati prima di essere inseriti negli header dei servizi interni di GitHub.

L'attacco sfrutta un difetto di "improper neutralization of special elements" (CWE-77). Gli header interni di GitHub usano un carattere delimitatore per separare i campi, ma questo stesso carattere poteva comparire nei dati forniti dall'utente. Un attaccante poteva quindi iniettare campi aggiuntivi attraverso opzioni di push crafted ad hoc, bypassando i controlli di sicurezza.

Il risultato: esecuzione remota di codice arbitrario con i privilegi del processo git di GitHub.

Timeline degli eventi:

  • 10 marzo 2026: CVE-2026-3854 pubblicato sul National Vulnerability Database (NVD)
  • 6 ore dopo il report: GitHub ha mitigato il problema su GitHub.com
  • Marzo 2026: Rilasciate patch per tutte le versioni supportate di GitHub Enterprise Server (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4)

Su GitHub.com, l'accesso era limitato ai nodi di storage condiviso, ma Wiz ha confermato che milioni di repository pubblici e privati di altri utenti e organizzazioni erano potenzialmente accessibili. Su GitHub Enterprise Server, il compromesso è totale: accesso a tutti i repository ospitati e ai segreti interni dell'azienda.

Perché è importante

Questa vulnerabilità colpisce un punto critico della catena di sviluppo software. GitHub Enterprise Server è usato da migliaia di organizzazioni, dalle startup ai colossi tech, come repository centrale per il codice sorgente. Un attaccante che riesca a eseguire codice su questi server può:

  • Rubare il codice sorgente di progetti privati
  • Accedere a credenziali e segreti memorizzati nei repository (API key, token, password)
  • Modificare il codice prima che venga deployato in produzione, inserendo backdoor o malware
  • Interrompere lo sviluppo dell'intera organizzazione

Ciò che rende questa falla particolarmente pericolosa è la semplicità di sfruttamento. Non richiede exploit complessi: basta un client git standard e l'accesso a un repository (anche uno creato per l'occasione). Chiunque abbia un account GitHub Enterprise può tentare l'attacco.

Il dato più allarmante: l'88% delle istanze di GitHub Enterprise Server rimane vulnerabile al momento della scoperta. Questo significa che decine di migliaia di organizzazioni potevano essere a rischio. Anche se il numero è diminuito da allora, molte aziende non hanno ancora aggiornato i loro sistemi.

Cosa aspettarsi

GitHub ha già distribuito patch, ma l'adozione rimane il vero ostacolo. Le organizzazioni che usano GitHub Enterprise Server devono:

  1. Aggiornare immediatamente alle versioni corrette (3.14.25 o successive)
  2. Verificare i log di accesso per individuare exploit potenziali (ricerche di opzioni di push anomale)
  3. Ruotare i segreti memorizzati nei repository, per precauzione

Nel breve termine, osserva:

  • Numero di aggiornamenti: quante organizzazioni applicheranno la patch nei prossimi 30 giorni
  • Segnalazioni di exploit in the wild: se la falla verrà sfruttata prima che tutti aggiornino
  • Reazioni normative: se regolatori o standard di compliance (SOC 2, ISO 27001) richiederanno verifiche specifiche

A livello più ampio, questa scoperta evidenzia come le vulnerabilità critiche possono nascondersi in componenti che tutti considerano "già sicuri". L'uso di AI per analizzare binari closed-source rappresenta un cambio di paradigma nella ricerca di sicurezza: i ricercatori non devono più aspettare il codice sorgente per trovare falle. Per GitHub e altri fornitori di infrastrutture critiche, significa che il perimetro di minaccia si è allargato.

La collaborazione tra Wiz e GitHub durante il processo di disclosure (dalla scoperta al patch in pochi giorni) è stata esemplare, ma il vero test arriverà nei prossimi mesi: quante organizzazioni riusciranno a stare al passo con gli aggiornamenti di sicurezza?

📰 Fonti

  1. Hacker NewsGitHub RCE Vulnerability: CVE-2026-3854 Breakdown
  2. wiz.ioGitHub RCE Vulnerability: CVE-2026-3854 Breakdown | Wiz Blog
  3. github.comAn improper neutralization of special elements... · CVE-2026-3854 - GitHub
  4. nvd.nist.govCVE-2026-3854 Detail - NVD
  5. vicarius.ioCVE-2026-3854 - vsociety - Vicarius
  6. sentinelone.comCVE-2026-3854: GitHub Enterprise Server RCE Vulnerability