GitHub RCECVE-2026-3854Wiz ResearchGHES %88 Yama Yapmadı

GitHub CVE-2026-3854: Tek git push ile Backend Sunucusunda RCE — Çapraz Kiracı Blast Radius, GHES'lerin %88'i Hâlâ Açıkta

📅 28 Nisan 2026  ·  📰 Wiz Research / GitHub Blog / THN / Security Affairs  ·  TLP:WHITE

8.7
CVSS
Wiz Research, 28 Nisan 2026'da (4 Mart'ta keşfedilmişti) kamuoyuyla paylaştığı teknik analizde GitHub'ın git push altyapısındaki kritik RCE açığını ayrıntılı olarak belgeledi.

Açığın özü: GitHub'ın babeld proxy bileşeni, kullanıcı tarafından sağlanan push option değerlerini downstream servislere ilettiği X-Stat header'ına sanitize etmeden ekliyor. Header formatı delimiter olarak noktalı virgül kullandığından, saldırgan push option'a noktalı virgül enjekte ederek güvenilir güvenlik alanlarını üzerine yazabiliyor → git servis kullanıcısıyla sandbox dışında RCE.

Çapraz kiracı blast radius: GitHub.com'da git servis kullanıcısı tüm kiracılar arasında paylaşılıyor. Wiz araştırmacıları kendi organizasyonlarının dışındaki milyonlarca public ve private depoya erişebildiklerini doğruladı — hiçbir üçüncü taraf verisine dokunulmadı.

Timeline: Wiz raporu 4 Mart 2026 → GitHub.com yaması 75 dakikada → GitHub Enterprise Server yaması 10 Mart → Kamuoyuna açıklama 28 Nisan (GHES müşterilerin patch süresini tamamlaması için). Ancak açıklama yapılırken GHES kullanıcılarının %88'i hâlâ açıkta. Wiz: bu açığın keşfinde AI kullanıldı — kapalı kaynak binary'lerde ilk kritik AI keşiflerinden biri.
▸ ÖNERİLEN AKSİYONLAR
GitHub Enterprise Server'ı anında güncelleyin: ≥3.19.4, 3.18.7, 3.17.12, 3.16.15, 3.15.19 veya 3.14.24
Push access kontrollerini gözden geçirin — gereksiz kişilerin push erişimini kaldırın
GHES audit loglarında X-Stat header anomalilerini retrospektif olarak tarayın
GitHub.com kullanıcıları: zaten yamalı — GHES self-hosted kullananlar öncelikli
CI/CD sistemlerinde GitHub'a bağlı secret'ları rotate edin (ihtiyat)