文章总结： 研究人员发现GitHub高危命令注入漏洞CVE-2026-3854，拥有仓库推送权限的攻击者可通过构造恶意gitpush选项参数，在服务器上实现远程代码执行。该漏洞影响GitHub企业云及企业服务器，官方已在3.14.24等版本中修复，建议用户立即升级补丁。 综合评分： 85 文章分类： 漏洞分析,Web安全,应用安全,安全运营,漏洞预警

CVE-2026-3854：GitHub 存在安全缺陷，攻击者可利用该漏洞发起远程代码执行攻击

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月29日 08:43 湖北

在小说阅读器读本章

去阅读

研究人员在 GitHub 中发现一处高危漏洞，漏洞编号为 CVE-2026-3854，攻击者只需执行一次简单的 git push 操作，即可实现远程代码执行。该漏洞影响 GitHub 企业云、含数据驻留功能的 GitHub 企业云、搭载企业托管用户的 GitHub 企业云以及 GitHub 企业服务器。

此漏洞源于命令注入缺陷，拥有代码仓库推送权限的攻击者，可在受影响设备上执行任意系统命令。该漏洞评级为高危，对 GitHub 官网及 GitHub 企业服务器用户均构成严重安全威胁。

官方安全公告中写道：“GitHub 企业服务器存在特殊字符过滤不当漏洞，拥有仓库推送权限的攻击者可利用该缺陷，在服务器实例上实施远程代码执行。在 git push 过程中，用户传入的推送选项参数未经过安全过滤，就被写入内部服务请求头。由于内部请求头使用的分隔符可被用户输入内容伪造，攻击者可通过构造恶意推送选项，注入额外元数据字段。”

该漏洞通过 GitHub 漏洞赏金计划提交上报，官方已在多个企业服务器版本中完成修复，包括：3.14.24、3.15.19、3.16.15、3.17.12、3.18.6 以及 3.19.3。

威兹（Wiz）安全研究团队于 2026 年 3 月 4 日披露该漏洞，GitHub 仅用两小时就完成了漏洞修复。代码推送至 GitHub 时，内部各服务会同步交互操作元数据。本次漏洞的核心成因是：用户可控的 git push 选项参数未做合规清洗，直接嵌入元数据流转。攻击者可利用分隔符解析逻辑缺陷注入冗余字段，欺骗下游服务将恶意输入判定为可信数据。借此篡改运行环境、绕过沙箱防护，最终在服务器中执行任意命令。

GitHub 迅速通过强化输入校验修复该问题，并为各版本企业服务器推送安全补丁。经排查，目前除安全研究员测试利用外，暂无野外真实攻击案例，也未发生客户数据泄露事件。

威兹研究团队表示，该漏洞是借助人工智能在闭源代码中检测发现，标志着漏洞挖掘方式迎来新变化。该漏洞利用逻辑虽有复杂度，但攻击门槛极低。在 GitHub 公有云环境中，漏洞可导致共享存储节点远程代码执行，数百万代码仓库面临泄露风险；而在企业服务器环境下，可被完整攻陷服务器，窃取全部仓库数据与核心敏感内网资料。GitHub 企业服务器用户需立即升级修复，截至目前，调研数据显示仍有 88% 的服务器实例处于高危未修复状态。

攻击者可通过滥用注入字段完成权限提升，实现完整远程代码执行。通过篡改运行环境参数，绕过沙箱隔离机制，强制钩子程序在非安全模式下运行；再结合目录重定向与路径遍历漏洞，加载执行任意恶意文件。整条攻击链可依托 Git 服务账户执行系统指令，实现服务器完全控制，自由访问文件系统、篡改内部配置。

在 GitHub 公有云侧，攻击者可借助内部元数据注入企业模式标识，即便平台默认禁用自定义钩子，依旧能够突破限制执行恶意代码。依托 GitHub 多租户架构特性，该漏洞会造成跨环境数据泄露，黑客可读取共享存储节点上的海量第三方仓库源码。

该安全事件暴露出：单次 git push 动作即可利用企业内部服务间的信任机制发起攻击。GitHub 官方强烈建议用户立即打补丁加固，并强调复杂架构场景下，必须严格管控用户可控数据在内网协议中的流转安全。

报告总结：“一条简单的 git push 命令，就能利用 GitHub 内网通信协议缺陷，拿下后端基础设施代码执行权限。整条攻击链折射出通用安全问题：多语言、多服务集群通过统一内网协议传输数据时，各服务对数据格式、内容的默认信任假设，会形成高危攻击面。本次漏洞的根源，正是单一服务未经校验，直接原生嵌入外部可控的推送参数。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《CVE-2026-3854：GitHub 存在安全缺陷，攻击者可利用该漏洞发起远程代码执行攻击》