#news На GitHub закрыли уязвимость под удалённое выполнение кода, CVE-2026-3854. Затронуты как облачные продукты компании, так и GitHub Enterprise Server. Так что накатывайте патчи.
Проблема в обработке git push и недостаточной санитизации метаданных: злоумышленник с доступом к push может внедрить дополнительные поля в метаданные, что ведёт к RCE. Эксплойт элементарный, с выходом из песочницы и 88% инстансов GHES, уязвимых к атаке на момент публикации. Из хороших новостей, с оглядкой на специфическое выполнение кода при внедрении GitHub проверил телеметрию и следов эксплуатации на своей стороне не обнаружил. А вот владельцы GHES рискуют обнаружить уже сегодня. GitHub закрыл уязвимость у себя за пару часов после получения отчёта, что как бы намекает. Берите пример! Подробнее об уязвимости здесь.
