Kritiek beveiligingslek op GitHub.com gaf toegang tot miljoenen repositories

In dit artikel:

Beveiligingsbedrijf Wiz ontdekte een injectiekwetsbaarheid in het interne communicatieprotocol van GitHub die het voor geauthenticeerde gebruikers mogelijk maakte om via een git push willekeurige commando’s op backend-servers uit te voeren. Daardoor konden aanvallers code op shared storage-nodes laten draaien en zo toegang krijgen tot miljoenen publieke en private repositories en interne secrets. De fout zat in de verwerking van push‑opties: onvoldoende sanitatie zorgde dat downstream‑services door gebruikers aangeleverde key‑value‑strings als vertrouwde interne data beschouwden.

GitHub verholp het lek op GitHub.com binnen enkele uren na melding door Wiz. Voor GitHub Enterprise Server (de self‑hosted variant) zijn beveiligingsupdates beschikbaar, maar organisaties moeten die zelf toepassen; onderzoekers geven aan dat nog ongeveer 88% van de servers kwetsbaar is. GitHub zegt op basis van eigen onderzoek geen aanwijzingen voor misbruik te hebben gevonden. De kwetsbaarheid is geregistreerd als CVE-2026-3854.

Aanbevolen acties: immediate installatie van de updates voor Enterprise Server, controleer logs op afwijkende activiteiten en overweeg het roteren van gecompromitteerde secrets.