B
今週中
GitHub.comおよびGitHub Enterprise Server (GHES) において、リモートコード実行 (RCE) が可能な深刻な脆弱性…
📌 一言でいうと
GitHub.comおよびGitHub Enterprise Server (GHES) において、リモートコード実行 (RCE) が可能な深刻な脆弱性 (CVE-2026-3854) が発見されました。この脆弱性は、git push時のプッシュオプションにおける不適切なサニタイズ(CWE-77)に起因し、攻撃者は内部ヘッダーを注入することでサーバー上の任意ファイルを実行させることが可能です。GHESではサーバーの完全な権限奪取に至り、GitHub.comでは他ユーザーのプライベートリポジトリへのアクセスを許す可能性があります。
🏢影響範囲
GitHub Enterprise Serverを利用している企業、およびGitHub.comを利用しているすべての開発者・組織。
✅該当時の対応
GitHub Enterprise Server利用者は、速やかに最新のセキュリティパッチを適用してください。GitHub.com利用者は、GitHub側で修正が適用されているか確認し、不審なリポジトリアクセスのログを監視してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub Enterprise Server / GitHub.com CVE-2026-3854 対応について
お疲れさまです。GitHubのインフラストラクチャにおける深刻なRCE脆弱性に関する情報共有です。
■ 概要
GitHub内部のgitプロキシ(babeld)における不適切なサニタイズにより、認証済みユーザーがX-Statヘッダーを注入し、サーバー上で任意コードを実行できる脆弱性(CVE-2026-3854)が報告されました。AIを用いたリバースエンジニアリングにより発見されたもので、攻撃チェーンによりサンドボックスを回避し、gitサービスユーザー権限でのコード実行が可能です。
■ 影響範囲
- GitHub Enterprise Server (GHES)
- GitHub.com (共有インフラストラクチャ)
■ 対応手順
1. GHES管理者は、ベンダーから提供される最新のセキュリティアップデートを直ちに適用してください。
2. GitHub.com利用者は、プラットフォーム側で修正済みであるか公式アナウンスを確認してください。
3. 権限のないユーザーによる不審なリポジトリ操作やアクセスログがないか確認することを推奨します。
■ 参考情報
- Wiz Research Blog / GitHub Security Advisory
対応優先度: 高
対応期限: 速やかに
お疲れさまです。GitHubのインフラストラクチャにおける深刻なRCE脆弱性に関する情報共有です。
■ 概要
GitHub内部のgitプロキシ(babeld)における不適切なサニタイズにより、認証済みユーザーがX-Statヘッダーを注入し、サーバー上で任意コードを実行できる脆弱性(CVE-2026-3854)が報告されました。AIを用いたリバースエンジニアリングにより発見されたもので、攻撃チェーンによりサンドボックスを回避し、gitサービスユーザー権限でのコード実行が可能です。
■ 影響範囲
- GitHub Enterprise Server (GHES)
- GitHub.com (共有インフラストラクチャ)
■ 対応手順
1. GHES管理者は、ベンダーから提供される最新のセキュリティアップデートを直ちに適用してください。
2. GitHub.com利用者は、プラットフォーム側で修正済みであるか公式アナウンスを確認してください。
3. 権限のないユーザーによる不審なリポジトリ操作やアクセスログがないか確認することを推奨します。
■ 参考情報
- Wiz Research Blog / GitHub Security Advisory
対応優先度: 高
対応期限: 速やかに
Subject: [Urgent] GitHub Enterprise Server / GitHub.com CVE-2026-3854 Remediation
Dear Team,
This is a technical alert regarding a critical RCE vulnerability discovered in GitHub's internal git infrastructure.
■ Overview
CVE-2026-3854 is a critical vulnerability caused by improper sanitization of push options in the 'babeld' git proxy (CWE-77). An authenticated attacker can inject X-Stat headers to bypass sandboxes and execute arbitrary binaries as the git service user. This could lead to full server takeover on GHES or cross-tenant data exposure on GitHub.com.
■ Scope
- GitHub Enterprise Server (GHES)
- GitHub.com shared infrastructure
■ Action Plan
1. GHES Administrators: Immediately apply the latest security patches provided by GitHub.
2. GitHub.com Users: Verify the fix status via official GitHub security advisories.
3. Audit access logs for any unauthorized or suspicious activity within private repositories.
■ Reference
- Wiz Research / GitHub Security Advisory
Priority: High
Deadline: Immediate
Dear Team,
This is a technical alert regarding a critical RCE vulnerability discovered in GitHub's internal git infrastructure.
■ Overview
CVE-2026-3854 is a critical vulnerability caused by improper sanitization of push options in the 'babeld' git proxy (CWE-77). An authenticated attacker can inject X-Stat headers to bypass sandboxes and execute arbitrary binaries as the git service user. This could lead to full server takeover on GHES or cross-tenant data exposure on GitHub.com.
■ Scope
- GitHub Enterprise Server (GHES)
- GitHub.com shared infrastructure
■ Action Plan
1. GHES Administrators: Immediately apply the latest security patches provided by GitHub.
2. GitHub.com Users: Verify the fix status via official GitHub security advisories.
3. Audit access logs for any unauthorized or suspicious activity within private repositories.
■ Reference
- Wiz Research / GitHub Security Advisory
Priority: High
Deadline: Immediate