Kritische RCE-Schwachstelle bei GitHub.com und Enterprise Server ermöglicht vollständige Kompromittierung des Servers

Da der nachgeschaltete Dienst gitrpcd den X-Stat-Header mithilfe , könnte ein Angreifer neue Schlüssel-Wert-Felder injizieren, indem er einfach ein Semikolon gefolgt in einer Push-Option einbettet.

Sicherheitsschkritische Felder wie rails_env, custom_hooks_dir und repo_pre_receive_hooks waren alle über diesen einzigen Injektionsvektor überschreibbar.

Die Eskalation zu RCE erforderte das Verknüpfen :

Umgehen des Sandkastens (Sandbox) — Die

Umgehen des Sandkastens (Sandbox) — Die Injektion eines nicht-produktiven rails_env-Wertes wechselte das pre-receive-Hook-Binary vom sandboxed Ausführungspfad zu einem unsandboxed, direkt auszuführenden Pfad.

Umleitung des Hook-Verzeichnisses — Das Überschreiben von custom_hooks_dir leitete um, wo das Binary nach Hook-Skripten suchte.

Pfadüberschreitung zu beliebiger Ausführung — Die Injektion eines manipulierten repo_pre_receive_hooks-Eintrags mit einer Pfadüberschreitungs-Payload ließ das Binary ein beliebiges Dateisystem-Binary als der git-Service-Benutzer auslösen und direkt ausführen.

Der gesamte Exploit erforderte keine Rechteerhöhung,

Der gesamte Exploit erforderte keine Rechteerhöhung, kein spezielles Tooling und keine Zero-Day-Abhängigkeiten – nur einen Standard-Git-Client. Auf GitHub Enterprise Server gewährte die Ausnutzung einen vollständigen Server-Kompromiss, einschließlich Lese-/Schreibzugriff auf alle gehosteten Repositories und internen Geheimnisse.

Auf GitHub.com stellte Wiz zunächst fest, dass der Code-Pfad für benutzerdefinierte Hooks standardmäßig inaktiv war, entdeckte jedoch einen im X-Stat-Header injizierbaren booleschen Flag `enterprise_mode`, der auch die gesamte Kette auf der gemeinsamen Infrastruktur öglichte.

Nach Erzielung einer RCE auf den gemeinsamen Speicherknoten ätigte Wiz, dass der Dienstbenutzer Dateisystemzugriff auf Millionen Organisationen auf diesen Knoten hatte.

Die Wiz-Forscher greifen nicht auf Inhalte

Die Wiz-Forscher greifen nicht auf Inhalte ihre eigenen Testkonten, um die Cross-Tenant-Exposition zu validieren. Besonders hervorzuheben ist, dass dies eine der ersten kritischen Schwachstellen in geschlossenen Binärdateien ist, die mithilfe ßen Maßstab aufgedeckt wurde.

Wiz nutzte IDA MCP für automatisiertes Reverse Engineering, was eine schnelle Rekonstruktion der internen Protokolle über kompilierte Binärdateien ermöglichte, eine Analyse, die manuell unerschwinglich gewesen wäre.

Dies signalisiert eine bedeutsame Verschiebung in der Methodik der Schwachstellenforschung in undurchsichtigen, mehrdienstanbieter-Architekturen. GitHub erhielt den Bericht am 4.

März 2026, validierte ihn innerhalb weniger

März 2026, validierte ihn innerhalb weniger Stunden und implementierte bis zum späten Nachmittag UTC desselben Tages einen Fix für GitHub.com, ungefähr innerhalb des 6-stündigen Reaktionsfensters. Die forensische Untersuchung ätigte, dass vor der Offenlegung keine Ausnutzung stattgefunden hat.

Für GitHub Enterprise Server sind Patches verfügbar, und GHES-Administratoren müssen sofort handeln: Komponente | Anfällige Versionen | Behobene Version | GitHub Enterprise Server ≤ 3.19.1 | 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4+ Zum Zeitpunkt der Offenlegung wiesen Wiz-Daten aus, dass 88 % der GHES-Instanzen ungepatcht blieben.

Benutzer müssen keine Maßnahmen ergreifen. GHES-Administratoren sollten außerdem /var/log/github-audit.log auf Push-Operationen überprüfen, die ungewöhnliche Sonderzeichen in den Push-Optionenwerten enthalten, als Indikatoren für frühere Ausnutzungsversuche.

Sie uns auf

Sie uns auf

Der Beitrag Critical GitHub.com and Enterprise Server RCE Vulnerability Enables Full Server Compromise erschien zuerst bei Cyber Security News.