Researchers Discover Critical GitHub CVE-2026-3854 RCE Flaw Exploitable via Single Git Push

Kekurangan GitHub CVE-2026-3854 yang Sangat Kritis Dapat Dieksploitasi dengan Satu Perintah Git Push

Peneliti keamanan siber telah mengungkapkan detail tentang kerentanan keamanan yang sangat kritis yang memengaruhi GitHub.com dan GitHub Enterprise Server, yang dapat mengizinkan pengguna yang telah masuk untuk mendapatkan eksekusi kode jarak jauh dengan satu perintah "git push". Kekurangan ini, yang dilacak sebagai CVE-2026-3854 (skor CVSS: 8,7), adalah kasus injeksi perintah yang dapat mengizinkan penyerang dengan akses push ke repositori untuk mencapai eksekusi kode jarak jauh pada instance.

Penyebab Kerentanan

"Selama operasi git push, nilai opsi push yang disediakan oleh pengguna tidak disanitasi dengan baik sebelum dimasukkan ke dalam header layanan internal," menurut advisori GitHub untuk kerentanan ini. "Karena format header internal yang digunakan menggunakan karakter delimiter yang juga dapat muncul dalam input pengguna, penyerang dapat menyuntikkan bidang metadata tambahan melalui nilai opsi push yang dirancang."

Pengungkapan dan Perbaikan

Perusahaan keamanan awan Google, Wiz, telah dikreditkan dengan menemukan dan melaporkan masalah pada 4 Maret 2026, dengan GitHub memvalidasi dan mengirimkan perbaikan ke GitHub.com dalam waktu dua jam. Kerentanan ini juga telah diatasi di GitHub Enterprise Server versi 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0, atau lebih baru.

Dampak dan Pencegahan

Tidak ada bukti bahwa masalah ini pernah dieksploitasi dalam konteks berbahaya. Menurut GitHub, masalah ini memengaruhi GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud dengan Data Residency, GitHub Enterprise Cloud dengan Enterprise Managed Users, dan GitHub Enterprise Server.

Inti masalahnya adalah bahwa opsi git push yang disediakan oleh pengguna tidak disanitasi dengan baik sebelum nilai-nilai tersebut dimasukkan ke dalam header X-Stat internal. Karena format metadata internal menggunakan karakter delimiter yang juga dapat muncul dalam input pengguna, penyerang dapat mengeksploitasi kelalaian ini untuk menyuntikkan perintah sewenang-wenang dan menjalankannya.

Peneliti keamanan Wiz mengatakan bahwa masalah ini "sangat mudah" dieksploitasi dan memungkinkan eksekusi kode jarak jauh pada node penyimpanan bersama. Sekitar 88% instance saat ini rentan terhadap masalah ini pada saat pengungkapan publik.

Pengguna disarankan untuk menerapkan pembaruan segera untuk perlindungan yang optimal. "Satu perintah git push cukup untuk mengeksploitasi kerentanan dalam protokol internal GitHub dan mencapai eksekusi kode pada infrastruktur backend," kata Wiz.