Wiz Research hat Ende März eine schwerwiegende Schwachstelle in der internen Git-Infrastruktur von GitHub entdeckt und verantwortungsvoll gemeldet. Die Lücke erlaubte es jedem angemeldeten Nutzer, mit einem einzigen git push-Befehl beliebigen Code auf GitHubs Backend-Servern auszuführen – ohne spezielle Werkzeuge, nur mit einem normalen Git-Client.
Das Kernproblem lag in der internen Kommunikation zwischen GitHubs Diensten: Push-Optionen, die Nutzer beim git push mitgeben können, wurden ungeprüft in einen internen Header übernommen. Da dieser Header Felder mit Semikolon trennt, konnte ein Angreifer über manipulierte Push-Optionen eigene sicherheitsrelevante Felder einschleusen und so Schutzmechanismen aushebeln – bis hin zur vollständigen Übernahme des Servers. Auf GitHub.com hätte die Lücke Zugriff auf Millionen öffentlicher und privater Repositories anderer Nutzer ermöglicht. GitHub hat die Lücke auf GitHub.com innerhalb von 6 Stunden nach der Meldung geschlossen.
Wer GitHub Enterprise Server (GHES) selbst betreibt, muss jetzt handeln: Zum Zeitpunkt der Veröffentlichung waren laut Wiz noch 88 % aller GHES-Instanzen verwundbar. Die gepatchten Versionen sind 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 und 3.19.3. Ein Update ist dringend und ohne Aufschub einzuspielen.
Wer nur GitHub.com nutzt, ist bereits geschützt und muss nichts unternehmen. Wer unsicher ist, ob die eigene GHES-Version betroffen ist, prüft dies unter Admin → Site admin → Management console oder über die API (/manage/v1/version). Alle Versionen bis einschliesslich 3.19.1 sind verwundbar.
Bemerkenswert ist auch, dass die Lücke mithilfe von KI-gestützter Reverse-Engineering-Analyse gefunden wurde – ein Hinweis darauf, dass solche Methoden künftig öfter zur Entdeckung tiefliegender Schwachstellen beitragen werden.
Originalartikel: https://www.wiz.io/blog/github-rce-cve-2026-3854