GitHub se enfrenta a una vulnerabilidad crítica, identificada como CVE-2026-3854, que permite la ejecución remota de código (RCE) con un simple comando «git push». La falla, descubierta por investigadores de Wiz, permite a un usuario autenticado con permisos de «push» en un repositorio ejecutar código en la infraestructura del servidor.
Según un aviso de GitHub, la vulnerabilidad se debe a la falta de una correcta sanitización de los valores de las opciones «push» proporcionadas por el usuario antes de ser incluidas en las cabeceras internas del servicio. La estructura interna de las cabeceras utiliza un carácter delimitador, el punto y coma, que también puede aparecer en la entrada del usuario, permitiendo a un atacante inyectar campos de metadatos adicionales.
Wiz informó del problema el 4 de marzo de 2026, y GitHub validó e implementó una solución para GitHub.com en menos de dos horas. La vulnerabilidad ha sido corregida en GitHub Enterprise Server versiones 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 y posteriores. Afortunadamente, no hay evidencia de que la vulnerabilidad haya sido explotada de forma maliciosa.
La vulnerabilidad afecta a GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud con Residencia de Datos, GitHub Enterprise Cloud con Usuarios Administrados por la Empresa y GitHub Enterprise Server. El problema central radica en que las opciones «git push» proporcionadas por el usuario no se sanitizan adecuadamente antes de ser incorporadas a la cabecera X-Stat interna.
Alexis Wales, Directora de Seguridad de la Información de GitHub, lidera un equipo de expertos dedicados a proteger la plataforma y a la comunidad de código abierto, que cuenta con más de 150 millones de desarrolladores.
GitHub ha recomendado a los usuarios aplicar la actualización lo antes posible para garantizar la máxima protección.
