Kritische Sicherheitslücke in GitHub: Codeausführung per git push (CVE-2026-3854)

Wiz Research hat Ende März eine schwerwiegende Schwachstelle in der internen Git-Infrastruktur von GitHub entdeckt und verantwortungsvoll gemeldet. Die Lücke erlaubte es jedem angemeldeten Nutzer, mit einem einzigen git push-Befehl beliebigen Code auf GitHubs Backend-Servern auszuführen – ohne spezielle Werkzeuge, nur mit einem normalen Git-Client.

Das Kernproblem lag in der internen Kommunikation zwischen GitHubs Diensten: Push-Optionen, die Nutzer beim git push mitgeben können, wurden ungeprüft in einen internen Header übernommen. Da dieser Header Felder mit Semikolon trennt, konnte ein Angreifer über manipulierte Push-Optionen eigene sicherheitsrelevante Felder einschleusen und so Schutzmechanismen aushebeln – bis hin zur vollständigen Übernahme des Servers. Auf GitHub.com hätte die Lücke Zugriff auf Millionen öffentlicher und privater Repositories anderer Nutzer ermöglicht. GitHub hat die Lücke auf GitHub.com innerhalb von 6 Stunden nach der Meldung geschlossen.

Wer GitHub Enterprise Server (GHES) selbst betreibt, muss jetzt handeln: Zum Zeitpunkt der Veröffentlichung waren laut Wiz noch 88 % aller GHES-Instanzen verwundbar. Die gepatchten Versionen sind 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 und 3.19.3. Ein Update ist dringend und ohne Aufschub einzuspielen.

Wer nur GitHub.com nutzt, ist bereits geschützt und muss nichts unternehmen. Wer unsicher ist, ob die eigene GHES-Version betroffen ist, prüft dies unter Admin → Site admin → Management console oder über die API (/manage/v1/version). Alle Versionen bis einschliesslich 3.19.1 sind verwundbar.

Bemerkenswert ist auch, dass die Lücke mithilfe von KI-gestützter Reverse-Engineering-Analyse gefunden wurde – ein Hinweis darauf, dass solche Methoden künftig öfter zur Entdeckung tiefliegender Schwachstellen beitragen werden.

Originalartikel: https://www.wiz.io/blog/github-rce-cve-2026-3854

Tags :

Related Posts

Buffer-Overflow in Ruby-Gem Zlib – Update erforderlich

In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.

Read More

Datenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen

Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.

Read More

Axios npm-Paket kompromittiert – Angreifer schleusen Trojaner ein

Am 31. März 2026 wurden zwei Versionen des weit verbreiteten JavaScript-HTTP-Clients Axios (1.14.1 und 0.30.4) mit Schadsoftware verseucht. Ein Angreifer hatte sich Zugang zum npm-Konto des Hauptentwicklers verschafft und darüber gefälschte Paketversionen veröffentlicht, die eine bösartige Abhängigkeit namens „plain-crypto-js" einschleussen. Dieses Paket lädt beim Installieren automatisch einen Fernzugriffs-Trojaner (RAT) auf macOS, Windows und Linux herunter – ohne dass eine einzige Zeile im eigentlichen Axios-Code verändert wurde. Die Spuren wurden anschliessend gezielt verwischt. Mit über 83 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten Pakete im JavaScript-Ökosystem.

Read More