lỗ hổng CVE CVE-2026-3854 là một remote code execution (RCE) nghiêm trọng trong hạ tầng git nội bộ của GitHub, có thể cho phép bất kỳ người dùng đã xác thực nào chiếm quyền điều khiển máy chủ backend, truy cập hàng triệu kho lưu trữ riêng tư và, với GitHub Enterprise Server (GHES), đạt tới mức full server takeover.
CVE-2026-3854 và tác động bảo mật
Lỗ hổng CVE này được xác định trong cơ chế xử lý push option của babeld git proxy. Theo phân tích của Wiz, nguyên nhân gốc là improper neutralization of special elements theo CWE-77.
Với kiểu khai thác này, một thao tác git push -o thông thường có thể trở thành vector chèn dữ liệu vào header nội bộ. Đây là một cảnh báo CVE đáng chú ý vì không yêu cầu privilege escalation, không cần công cụ đặc biệt và không phụ thuộc zero-day bên ngoài.
Cơ chế khai thác
Khi người dùng thực thi git push -o, các chuỗi tùy chọn sẽ được chuyển lên máy chủ. Lỗ hổng xuất hiện vì babeld sao chép nguyên văn các giá trị này vào header nội bộ phân tách bằng dấu chấm phẩy X-Stat, nhưng không lọc ký tự semicolon, trong khi chính ký tự này được dùng làm dấu phân tách trường.
Do dịch vụ phía sau gitrpcd phân tích header X-Stat theo cơ chế last-write-wins, kẻ tấn công có thể chèn cặp khóa-giá trị mới bằng cách nhúng dấu chấm phẩy, theo sau là tên trường và giá trị ngay trong push option.
Các trường bị ghi đè
Những trường nhạy cảm có thể bị ghi đè qua cùng một vector injection gồm:
- rails_env
- custom_hooks_dir
- repo_pre_receive_hooks
Để đạt được RCE, chuỗi khai thác cần kết hợp ba trường chèn này theo đúng trình tự xử lý nội bộ. Khi thành công, lỗ hổng CVE cho phép thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Ảnh hưởng trên GitHub Enterprise Server
Trên GitHub Enterprise Server, khai thác thành công dẫn đến full server compromise, bao gồm quyền đọc/ghi toàn bộ repository được lưu trữ và các bí mật nội bộ. Đây là mức ảnh hưởng cao nhất của lỗ hổng CVE này trong môi trường GHES.
Thông tin vá lỗi và khuyến nghị cập nhật có thể tham khảo tại tài liệu chính thức của GitHub: GitHub Security Advisory.
CVE-2026-3854 trên GitHub.com và GitHub Enterprise Cloud
Ban đầu, Wiz ghi nhận đường dẫn custom hooks trên GitHub.com bị vô hiệu hóa mặc định. Tuy nhiên, họ phát hiện thêm một cờ logic enterprise_mode trong header X-Stat cũng có thể bị chèn tương tự, từ đó kích hoạt toàn bộ chuỗi khai thác trên hạ tầng chia sẻ của GitHub.com.
Sau khi đạt RCE trên các storage node dùng chung, nhóm nghiên cứu xác nhận tiến trình dịch vụ git có quyền truy cập hệ thống tệp tới hàng triệu repository thuộc về người dùng và tổ chức khác trên cùng node. Theo công bố, chỉ các tài khoản thử nghiệm do chính họ kiểm soát được sử dụng để xác minh mức độ phơi lộ dữ liệu, không truy cập nội dung bên thứ ba.
Với GitHub Enterprise Cloud và GitHub.com, nhà cung cấp cho biết người dùng không cần hành động bổ sung sau khi bản vá được triển khai.
Khai thác zero-day không yêu cầu công cụ đặc biệt
Điểm đáng chú ý của lỗ hổng CVE này là quy trình khai thác không đòi hỏi zero-day vulnerability phức tạp ở phía client. Kẻ tấn công chỉ cần một git client tiêu chuẩn và khả năng gửi push option có chứa ký tự đặc biệt.
Điều này làm tăng nguy cơ bảo mật trong các hạ tầng xử lý git nhiều lớp, đặc biệt khi các header nội bộ được tạo từ dữ liệu đầu vào chưa được chuẩn hóa đầy đủ.
Kiểm tra dấu hiệu khai thác
GitHub khẳng định quá trình điều tra pháp chứng không phát hiện dấu hiệu bị khai thác trước khi công bố. Tuy vậy, quản trị viên GHES vẫn nên kiểm tra /var/log/github-audit.log để phát hiện các thao tác push bất thường.
Những dấu hiệu cần chú ý gồm các push option có chứa ký tự đặc biệt không điển hình, đặc biệt là chuỗi có dấu chấm phẩy hoặc mẫu giá trị trông giống trường nội bộ.
Ví dụ kiểm tra log
grep -E 'push|X-Stat|;|enterprise_mode|custom_hooks_dir|repo_pre_receive_hooks|rails_env' /var/log/github-audit.logGhi chú nghiên cứu và phương pháp phân tích
Wiz cho biết đây là một trong những lỗ hổng CVE nghiêm trọng đầu tiên trong closed-source binaries được phát hiện bằng AI tooling ở quy mô lớn. Họ sử dụng IDA MCP để tự động hóa reverse engineering, từ đó tái dựng nhanh giao thức nội bộ của GitHub trên nhiều binary biên dịch.
Phương pháp này rút ngắn đáng kể thời gian phân tích so với cách làm thủ công, đặc biệt trong các kiến trúc đa dịch vụ và mã nguồn đóng. Đây cũng là một thay đổi đáng kể trong quy trình nghiên cứu cảnh báo CVE đối với môi trường opaque backend.
Trạng thái vá lỗi và mức độ tiếp xúc
GitHub tiếp nhận báo cáo vào ngày 4/3/2026, xác thực trong vài giờ và triển khai bản sửa cho GitHub.com vào khoảng 7:00 p.m. UTC cùng ngày, tương đương trong khung phản hồi khoảng 6 giờ.
Theo dữ liệu được công bố tại thời điểm disclosure, khoảng 88% phiên bản GHES vẫn chưa được vá. Đây là chỉ số quan trọng cho các đội vận hành đang theo dõi cập nhật bản vá và đánh giá rủi ro an toàn thông tin.
Quản trị viên GHES cần ưu tiên áp dụng bản vá bảo mật và rà soát nhật ký hệ thống để phát hiện các lỗ hổng CVE có thể đã bị lạm dụng trong môi trường nội bộ.
IOC cần theo dõi
- /var/log/github-audit.log với các thao tác push bất thường
- Push option chứa semicolon hoặc chuỗi trường nội bộ không hợp lệ
- Các giá trị liên quan đến enterprise_mode
- Tham số ghi đè rails_env, custom_hooks_dir, repo_pre_receive_hooks
Tham chiếu kỹ thuật
Tra cứu thêm tại NVD: CVE-2026-3854 để đối chiếu định danh, phân loại và trạng thái công bố của lỗ hổng CVE này.
