B
今週中
GitHubの内部資産管理インフラにおいて、セミコロンを用いたコマンド注入によるリモートコード実行(RCE)の脆弱性
📌 一言でいうと
GitHubの内部資産管理インフラにおいて、セミコロンを用いたコマンド注入によるリモートコード実行(RCE)の脆弱性が発見されました。この脆弱性は、内部プロキシサーバーがユーザー入力のセミコロンを適切にフィルタリングしなかったことに起因し、GitHub Enterprise Server (GHES) ではサーバーの全権限奪取が可能です。Wiz社の研究チームがAIツールを用いてバイナリ分析を行い発見し、GitHubは既にパッチを適用済みですが、多くのGHESユーザーが未更新の状態にあります。
🏢影響範囲
GitHub Enterprise Server (GHES) を利用している組織、およびGitHubの共有インフラを利用する開発者
✅該当時の対応
GHES管理者は直ちに最新バージョンへアップデートし、過去の監査ログを確認して不正アクセスの痕跡がないか調査することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub Enterprise Server (GHES) CVE-2026-3854 対応について
お疲れさまです。GitHubの脆弱性に関する情報共有です。
■ 概要
内部プロキシサーバーにおけるセミコロン(;)のフィルタリング不備(CWE-77)により、リモートコード実行(RCE)が可能な脆弱性が発見されました。攻撃者が「git push」コマンドにセミコロンを混入させることで、管理権限なしにサーバー上で任意のコマンドを実行できる可能性があります。
■ 影響範囲
- GitHub Enterprise Server (GHES)
- GitHub.com (共有インフラはパッチ適用済み)
■ 対応手順
1. GHESのバージョンを確認し、最新のセキュリティパッチが適用されたバージョンへアップデートしてください。
2. アップデート後、監査ログを精査し、不審なコマンド実行や設定変更の形跡がないか確認してください。
■ 参考情報
- Wiz Research / GitHub Security Advisory
対応優先度: 高
対応期限: 至急
お疲れさまです。GitHubの脆弱性に関する情報共有です。
■ 概要
内部プロキシサーバーにおけるセミコロン(;)のフィルタリング不備(CWE-77)により、リモートコード実行(RCE)が可能な脆弱性が発見されました。攻撃者が「git push」コマンドにセミコロンを混入させることで、管理権限なしにサーバー上で任意のコマンドを実行できる可能性があります。
■ 影響範囲
- GitHub Enterprise Server (GHES)
- GitHub.com (共有インフラはパッチ適用済み)
■ 対応手順
1. GHESのバージョンを確認し、最新のセキュリティパッチが適用されたバージョンへアップデートしてください。
2. アップデート後、監査ログを精査し、不審なコマンド実行や設定変更の形跡がないか確認してください。
■ 参考情報
- Wiz Research / GitHub Security Advisory
対応優先度: 高
対応期限: 至急
Subject: [Urgent] Remediation for GitHub Enterprise Server (GHES) CVE-2026-3854
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in GitHub's infrastructure.
■ Overview
An RCE vulnerability (CVE-2026-3854) has been identified due to improper sanitization of semicolons (CWE-77) in an internal proxy server. This allows an attacker to execute arbitrary commands on the server by manipulating the 'git push' command, potentially leading to full system compromise.
■ Scope
- GitHub Enterprise Server (GHES)
- GitHub.com (Already patched by GitHub)
■ Remediation Steps
1. Immediately update GHES instances to the latest patched version.
2. Review audit logs for any signs of unauthorized command execution or configuration changes prior to the patch.
■ Reference
- Wiz Research / GitHub Security Advisory
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in GitHub's infrastructure.
■ Overview
An RCE vulnerability (CVE-2026-3854) has been identified due to improper sanitization of semicolons (CWE-77) in an internal proxy server. This allows an attacker to execute arbitrary commands on the server by manipulating the 'git push' command, potentially leading to full system compromise.
■ Scope
- GitHub Enterprise Server (GHES)
- GitHub.com (Already patched by GitHub)
■ Remediation Steps
1. Immediately update GHES instances to the latest patched version.
2. Review audit logs for any signs of unauthorized command execution or configuration changes prior to the patch.
■ Reference
- Wiz Research / GitHub Security Advisory
Priority: High
Deadline: Immediate