Wiz研究人員即將獲得一筆可觀的獎勵,原因是他們發現了GitHub git基礎設施中一個高危漏洞。該漏洞允許遠程攻擊者僅憑一條命令,就能獲得對私有GitHub倉庫的完整讀寫權限。
在本周披露這一漏洞時,這家谷歌旗下的安全公司還表示,此次發現可能代表著閉源軟體漏洞挖掘方式的一個轉折點。
Wiz於周二公布了與CVE-2026-3854(CVSS評分8.8)相關的研究成果。
該公司研究人員此前已對GitHub進行了兩年的研究,但由於其內部二進制文件規模龐大,逆向工程一直被認為難度過高。
此次他們藉助Claude Code大幅降低了工作量,從產生想法到完成可用漏洞利用代碼,整個過程不到48小時。
Wiz在部落格中寫道:"通過利用AI增強工具,尤其是基於IDA MCP
的自動化逆向工程,我們得以完成此前成本過高的工作。藉助AI,我們快速分析了GitHub的編譯二進制文件,重建了內部協議,並系統性地識別出用戶輸入在整個處理流程中可能影響伺服器行為的位置。正是憑藉這一新能力,我們發現了GitHub多服務架構中用戶輸入流轉方式存在的根本性缺陷。"
Wiz指出,在AI出現之前,此類發現需要經驗豐富的研究人員耗費數月時間進行人工分析。而現在藉助通用AI工具,這一過程變得更快、更簡便——對防禦者和攻擊者來說都是如此。
漏洞原理解析
Wiz對該漏洞的工作原理進行了完整的技術說明,簡而言之,這是GitHub內部服務在處理推送請求時盲目信任用戶輸入所導致的缺陷。
推送選項是git協議的一項內置功能,用於向伺服器發送鍵值字符串。這些選項會被封裝進內部X-Stat HTTP頭,並在各服務之間傳遞。
然而,該漏洞正是利用了用戶提供的推送選項值被盲目信任並直接寫入推送請求內部元數據這一問題。
關鍵在於,這些元數據使用分隔符(即空字節)進行分隔,而用戶同樣可以在推送選項中輸入該字符。攻擊者可以在推送命令中濫用這一分隔符,誘使伺服器將其識別為可信的內部值。
Wiz最初在GitHub Enterprise Server(GHES)上驗證了該漏洞,並發現通過向X-Stat欄位注入額外內容,同樣的利用鏈在GitHub.com上也能奏效。
GitHub的應對措施
正如Wiz所指出的,GitHub在收到漏洞披露後六小時內便完成響應並發布了修復補丁,同時還實施了額外的加固措施,以降低未來類似漏洞可能造成的影響。
GitHub還確認,此前從未有攻擊者在GitHub.com上實施過此類攻擊,但建議GHES用戶檢查訪問日誌,排查是否存在被濫用的跡象。
GitHub首席資訊安全官Alexis Wales對Wiz的發現表示感謝,並表示將向該團隊頒發GitHub漏洞獎勵計劃歷史上金額最高的獎勵之一。
她表示:"GitHub高度讚賞Wiz在整個過程中展現出的協作精神、專業素養和合作態度。這一級別和嚴重程度的發現實屬罕見,因此獲得了我們漏洞獎勵計劃中最高級別的獎勵之一。這也再次提醒我們,最具影響力的安全研究來自那些善於提出正確問題的優秀研究人員。隨著安全形勢不斷演變,與優秀漏洞獵手和研究人員建立緊密合作比以往任何時候都更加重要。"
儘管美國國家標準與技術研究院(NIST)將CVE-2026-3854的CVSS評分定為8.8——比最高級別"嚴重"低一檔——但Wiz和GitHub均認為其實際影響超出了該評分所反映的程度。
除表示已向Wiz頒發"漏洞獎勵計劃中最高級別獎勵之一"外,這家微軟旗下公司並未透露具體金額。根據GitHub漏洞獎勵計劃的獎勵指南,嚴重漏洞通常可為研究人員帶來2萬至3萬美元的獎勵,但對於影響特別重大的漏洞,該公司也曾發放更高金額。
例如,迄今為止獎勵金額最高的漏洞報告於2023年提交,GitHub為該已修復漏洞支付了7.5萬美元——該漏洞曾允許攻擊者訪問生產容器的環境變量。
Q&A
Q1:CVE-2026-3854漏洞是如何被發現的?
A:Wiz研究人員藉助AI工具Claude Code和IDA MCP進行自動化逆向工程,對GitHub的編譯二進制文件進行分析,重建了內部協議,並系統識別出用戶輸入可能影響伺服器行為的位置。整個過程從產生想法到完成可用漏洞利用代碼不到48小時,而在AI出現之前,同類工作需要經驗豐富的研究人員耗費數月時間。
Q2:CVE-2026-3854漏洞的攻擊原理是什麼?
A:該漏洞源於GitHub內部服務在處理推送請求時,盲目信任用戶提供的推送選項值,並將其直接寫入內部元數據。由於元數據使用空字節作為分隔符,而用戶同樣可以在推送選項中輸入該字符,攻擊者可藉此誘使伺服器將惡意輸入識別為可信的內部值,從而獲得對私有倉庫的完整讀寫權限。
Q3:GitHub針對CVE-2026-3854漏洞採取了哪些應對措施?
A:GitHub在收到Wiz的漏洞披露後六小時內完成響應並發布修復補丁,同時實施了額外加固措施以降低未來類似漏洞的影響。GitHub還確認此前無攻擊者在GitHub.com上實施過此類攻擊,並建議GitHub Enterprise Server用戶檢查訪問日誌排查異常。此外,GitHub向Wiz團隊頒發了漏洞獎勵計劃歷史上金額最高的獎勵之一。
