GitHub修复git push关键远程代码执行漏洞：两小时响应并确认未被利用

2026年3月4日，GitHub通过其漏洞赏金计划收到Wiz研究人员报告的一个关键远程代码执行漏洞，该漏洞影响github.com、GitHub Enterprise Cloud（含数据驻留和企业托管用户版本）及GitHub Enterprise Server。漏洞原理是用户提供的git push选项值在内部元数据处理中缺乏充分 sanitization，攻击者可利用特定分隔符注入额外字段，覆盖推送处理环境，绕过沙箱保护，最终在服务器上执行任意命令，攻击仅需一条带有特制推送选项的git push命令。GitHub安全团队在40分钟内完成漏洞验证并确认严重性，当天17:45 UTC（协调世界时）确定根本原因后，于19:00 UTC完成对github.com的修复部署，修复措施为确保用户提供的推送选项值被正确 sanitization，无法再影响内部元数据字段。针对GitHub Enterprise Server，官方已为所有支持版本（3.14.25、3.15.20、3.16.16、3.17.13、3.18.8、3.19.4、3.20.0及更高版本）准备补丁，并发布CVE-2026-3854，强烈建议用户立即升级。事后 forensic 调查显示，该漏洞利用会触发github.com正常操作中不会使用的代码路径，通过查询遥测数据发现所有异常代码路径执行均与Wiz研究人员的测试活动相关，无其他用户或账户触发，未发生客户数据被访问、修改或泄露的情况。对于GitHub Enterprise Server用户，漏洞利用需实例上具有推送权限的已认证用户，建议审查访问日志。此外，GitHub还采取纵深防御措施，移除环境中不应存在的不必要代码路径，即便未来出现类似注入漏洞，也能限制攻击者能力。目前，GitHub Enterprise Cloud（含相关版本）及github.com已完成修复，用户无需额外操作；GitHub Enterprise Server用户除升级外，建议审查/var/log/github-audit.log中推送选项含“;”的推送操作。该漏洞报告将获得GitHub漏洞赏金计划历史上最高奖励之一。