GitHub CVE-2026-3854: Tek git push ile Backend Sunucusunda RCE — Çapraz Kiracı Blast Radius, GHES'lerin %88'i Hâlâ Açıkta

Wiz Research, 28 Nisan 2026'da (4 Mart'ta keşfedilmişti) kamuoyuyla paylaştığı teknik analizde GitHub'ın git push altyapısındaki kritik RCE açığını ayrıntılı olarak belgeledi.

Açığın özü: GitHub'ın babeld proxy bileşeni, kullanıcı tarafından sağlanan push option değerlerini downstream servislere ilettiği X-Stat header'ına sanitize etmeden ekliyor. Header formatı delimiter olarak noktalı virgül kullandığından, saldırgan push option'a noktalı virgül enjekte ederek güvenilir güvenlik alanlarını üzerine yazabiliyor → git servis kullanıcısıyla sandbox dışında RCE.

Çapraz kiracı blast radius: GitHub.com'da git servis kullanıcısı tüm kiracılar arasında paylaşılıyor. Wiz araştırmacıları kendi organizasyonlarının dışındaki milyonlarca public ve private depoya erişebildiklerini doğruladı — hiçbir üçüncü taraf verisine dokunulmadı.

Timeline: Wiz raporu 4 Mart 2026 → GitHub.com yaması 75 dakikada → GitHub Enterprise Server yaması 10 Mart → Kamuoyuna açıklama 28 Nisan (GHES müşterilerin patch süresini tamamlaması için). Ancak açıklama yapılırken GHES kullanıcılarının %88'i hâlâ açıkta. Wiz: bu açığın keşfinde AI kullanıldı — kapalı kaynak binary'lerde ilk kritik AI keşiflerinden biri.