Lỗ hổng nghiêm trọng trên GitHub để lộ hàng triệu kho chứa mã nguồn

Lỗ hổng nghiêm trọng trên GitHub để lộ hàng triệu kho chứa mã nguồn

GitHub

Các nhà nghiên cứu bảo mật tại Wiz đã phát hiện một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong GitHub, đe dọa hàng triệu kho chứa mã nguồn trên nền tảng này. Lỗ hổng, được theo dõi dưới mã định danh CVE-2026-3854, ảnh hưởng đến cơ sở hạ tầng Git nội bộ của nền tảng lưu trữ mã nguồn phổ biến nhất thế giới này, bao gồm cả GitHub.com và GitHub Enterprise Server.

Chi tiết kỹ thuật về lỗ hổng

Theo Wiz, lỗ hổng này nằm ở một lỗi tiêm trong giao thức nội bộ của GitHub. Điều đáng báo động là bất kỳ người dùng nào đã được xác thực đều có thể thực thi các lệnh tùy ý trên máy chủ backend của GitHub chỉ bằng một lệnh git push đơn giản, sử dụng một ứng dụng khách git tiêu chuẩn.

"Bằng cách khai thác lỗi tiêm trong giao thức nội bộ của GitHub, bất kỳ người dùng nào đã được xác thực đều có thể thực thi các lệnh tùy ý trên máy chủ backend của GitHub chỉ bằng một lệnh git push đơn giản – không cần gì ngoài một ứng dụng khách git tiêu chuẩn," Wiz giải thích.

Công ty bảo mật này cho biết họ đã phát hiện ra vấn đề bằng cách sử dụng trí tuệ nhân tạo (AI) và việc khai thác lỗ hổng này được đánh giá là khá dễ dàng.

Tác động rộng lớn

Đối với GitHub Enterprise Server, kẻ tấn công có thể khai thác lỗ hổng này để xâm nhập hoàn toàn máy chủ và giành quyền truy cập vào tất cả các kho chứa cũng như các bí mật nội bộ.

Tuy nhiên, tác động còn nghiêm trọng hơn đối với GitHub.com. Tại đây, CVE-2026-3854 có thể được khai thác để thực thi mã từ xa trên các nút lưu trữ dùng chung (shared storage nodes).

"Trên GitHub.com, lỗ hổng này cho phép thực thi mã từ xa trên các nút lưu trữ dùng chung. Chúng tôi đã xác nhận rằng hàng triệu kho chứa công khai và riêng tư thuộc về người dùng và tổ chức khác đều có thể truy cập được trên các nút bị ảnh hưởng," Wiz tuyên bố.

Mặc dù yêu cầu xác thực có vẻ như làm giảm thiểu rủi ro, nhưng GitHub giải thích rằng bất kỳ người dùng nào có quyền đẩy (push access) vào một kho chứa – kể cả kho chứa do chính họ tạo ra – đều có thể khai thác lỗ hổng này để thực thi các lệnh tùy ý trên máy chủ.

Khắc phục và tình trạng cập nhật

GitHub đã phản hồi nhanh chóng và khắc phục lỗ hổng này. Công ty đã tiến hành điều tra pháp y và xác định rằng lỗ hổng chưa bị khai thác trong thực tế.

Lỗ hổng này không chỉ ảnh hưởng đến GitHub.com và GitHub Enterprise Server mà còn ảnh hưởng đến GitHub Enterprise Cloud, GitHub Enterprise Cloud với Data Residency và GitHub Enterprise Cloud với Enterprise Managed Users.

Vấn đề được báo cáo cho GitHub vào ngày 4 tháng 3 và bản sửa lỗi đã được triển khai lên GitHub.com ngay trong ngày hôm đó. Bản vá cho Enterprise Server đã được phát hành vào ngày 10 tháng 3.

Tuy nhiên, Wiz báo cáo vào thứ Ba vừa qua rằng 88% các phiên bản Enterprise Server vẫn chưa được cập nhật lên phiên bản đã được vá. Điều này đặt ra một rủi ro lớn đối với các tổ chức tự lưu trữ nền tảng này.

Các chi tiết kỹ thuật của CVE-2026-3854 đã được Wiz công bố, và GitHub cũng đã mô tả các hành động họ đã thực hiện cũng như quy trình xử lý các lỗ hổng tương tự.

Người dùng và quản trị viên hệ thống được khuyến nghị mạnh mẽ cập nhật ngay lập tức để bảo vệ dữ liệu của mình.