GitHub heeft een kritieke remote code execution-kwetsbaarheid opgelost. Daardoor konden kwaadwillenden toegang krijgen tot miljoenen repository's, zowel openbaar als privé. Volgens GitHub is de kwetsbaarheid niet misbruikt.
Cloudsecuritybedrijf Wiz ontdekte de CVE-2026-3854-kwetsbaarheid naar eigen zeggen met behulp van de AI-tool IDA MCP. Door de injectionbug uit te buiten, kon iedereen met pushtoegang tot een repository commando's uitvoeren op de back-endservers van GitHub. Wiz beweert dat het eenvoudig was om de kwetsbaarheid uit te buiten, omdat hier slechts één enkele gitpushcommando voor nodig was.
Hierdoor zouden onbevoegden toegang kunnen krijgen tot miljoenen openbare en privérepository's op GitHub. Op GitHub Enterprise Server zou het mogelijk zijn geweest om een hele server te compromitteren, waardoor kwaadwillenden lees- en schrijftoegang hadden tot alle interne repository's en secrets.
Wiz heeft GitHub op de hoogte gebracht van de kwetsbaarheid. Het platform wist de bug zelf te reproduceren en had binnen enkele uren een fix uitgebracht. Uit intern onderzoek zou blijken dat er geen sprake was van misbruik. De kwetsbaarheid is al in maart gedicht, maar dat is nu pas bekendgemaakt.
/i/2008150414.webp?f=imagegallery)
/i/2004765172.png?f=fpa)
/u/22289/crop5bbe5531d9bfd_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community){kind=small}
. Daarom dat er vaker wel al over een kwetsbaarheid wordt gecommuniceerd maar nog niks wordt prijsgegeven, evt in combinatie met "op datum X om tijdstip Y komt een nieuwe versie uit" zodat gebruikers een update kunnen plannen./u/472627/crop5c83fe498b36e_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/71115/plus222.jpg?f=community){kind=small}