高風險GitHub漏洞極容易被利用，攻擊者只需透過推送Git就能觸發

GitHub指出CVE-2026-3854影響範圍相當廣泛，同時涵蓋了Github.com、GitHub Enterprise Cloud、GitHub Enterprise Cloud with Data Residency、GitHub Enterprise Cloud with Enterprise Managed Users。根據他們的調查，該漏洞在公布前尚未遭人利用。

這個漏洞利用使用者提供的git推送選項，這些選項透過中繼資料處理。該功能允許用戶端在推送過程中向伺服器傳送特定字串。然而，使用者提供的數值被納入內部的中繼資料，且未經過充分的處理。由於內部中繼資料格式使用分隔字元，且該字元也可能出現在使用者輸入中，攻擊者可以注入額外欄位，讓下游服務將其解讀為受信任的內部資料。

Wiz也透過部落格文章說明，這是GitHub封閉原始碼的二進位檔案首度出現的重大漏洞，並強調此漏洞相當容易被利用。於Github.com和GHES造成的影響有所不同，攻擊者可遠端在Github.com的共用儲存節點執行任意程式碼，而若是在GHES利用，攻擊者可完全入侵伺服器，並存取其管理的儲存庫與憑證資料。

值得留意的是，儘管GitHub獲報後數個小時就發布新版修補，然而迄今仍有88%的GHES實體曝險，因此他們也呼籲用戶應儘速更新。