GitHub 重大漏洞 CVE-2026-3854 被揭露，git push 即可觸發 RCE

The Hacker News 報導，資安研究團隊揭露 GitHub Enterprise Server（GHES）重大漏洞 CVE-2026-3854，CVSS 風險評分高達 8.7。攻擊者僅需透過一次正常的 git push 操作，即可在主機上觸發遠端程式碼執行（RCE），並可能取得跨租戶（cross-tenant）存取數百萬儲存庫的權限。此漏洞由資安公司 Wiz 通報 GitHub，目前已釋出多個修補版本。

根據 GitHub 的官方公告，受影響版本包括 3.14、3.15、3.16、3.17、3.18 與 3.19 系列。GitHub 已於 3.14.25、3.15.20、3.16.16、3.17.13、3.18.7 與 3.19.4 版本中修補此漏洞，企業用戶被強烈建議盡速升級。漏洞的關鍵在於攻擊者可透過構造特殊的 git push 觸發伺服器端的處理流程缺陷，獲得在 GHES 主機上執行任意程式碼的能力。

從風險角度看，這項漏洞具有「攻擊門檻低、後果嚴重」的雙重特性。GHES 通常部署在企業內部，作為私有版控與 CI/CD 系統的核心，許多客戶將其與內部敏感原始碼、API 金鑰、部署管線整合在一起。一旦遭利用，攻擊者不僅可竊取程式碼，更可能在 CI/CD 流程中插入惡意程式、感染下游服務，形成典型的供應鏈攻擊鏈條。

值得注意的是，GHES 與 GitHub.com 雲端版本架構有所差異，但企業端漏洞的曝險面通常更廣，因為部分客戶可能延遲套用更新。此外，跨租戶存取的特性意味著，多個內部組織共用同一 GHES 實例時，單一漏洞即可破壞既有的隔離邊界。資安專家普遍建議，企業在升級之外，亦需審視是否有可疑的 push 操作紀錄、檢查 webhook、Actions runner 與部署金鑰是否曾遭濫用。

整體而言，CVE-2026-3854 是繼近期一連串軟體供應鏈攻擊事件後，又一個值得高度警惕的案例。後續觀察重點將在於是否出現實際攻擊樣本、其他開源版控平台是否存在類似缺陷，以及企業在程式碼供應鏈安全治理上的整體升級方向。