CVE-2026-3854 : RCE critique sur GitHub via un simple git push
Injection de commande dans babeld, le proxy git interne de GitHub : un simple push suffisait à obtenir une RCE. CVSS 8.7, corrigé sur github.com le 4 mars 2026. Divulgué le 28 avril — les admins GitHub Enterprise Server doivent patcher en urgence.
Le 28 avril 2026, GitHub et le cabinet de sécurité Wiz ont publié conjointement les détails techniques de CVE-2026-3854 — une vulnérabilité d'injection de commande dans l'infrastructure interne git de GitHub. Le rapport de divulgation précise que la faille a été corrigée sur github.com dès le jour de sa découverte, le 4 mars 2026, mais que 88 % des instances GitHub Enterprise Server (GHES) étaient encore non patchées au moment de la publication. Les administrateurs GHES qui n'ont pas appliqué les correctifs publiés en mars s'exposent à une compromission complète de leur instance.
Mécanisme d'exploitation
La faille réside dans babeld, le proxy git interne de GitHub. Lorsqu'un utilisateur effectue un git push, le client peut transmettre des push options — des métadonnées libres au format clé-valeur. babeld copie ces valeurs dans un en-tête interne X-Stat, qui délimite ses champs avec des points-virgules.
Le bug : babeld n'échappait pas le caractère ; dans les valeurs fournies par l'utilisateur avant de les injecter dans cet en-tête. Un attaquant pouvait donc injecter des champs supplémentaires en glissant un point-virgule dans une push option, contournant le sandboxing et forçant l'exécution de commandes arbitraires côté serveur.
# Exemple schématique — push option malveillante
git push origin main \
-o "opt1=value; injected-field=malicious-command"
Le vecteur est notable à deux titres : il ne nécessite qu'un accès en écriture à n'importe quel dépôt sur l'instance, et s'exécute avec l'outillage git standard sans aucune modification de client.
Criticité et classification
| Attribut | Valeur |
|---|---|
| CVE | CVE-2026-3854 |
| CVSS | 8.7 (Critique) |
| CWE | CWE-77 — Improper Neutralization of Special Elements used in a Command |
| Vecteur | Network / Low privileges / No user interaction |
| Impact | RCE sur les serveurs backend de l'instance |
Timeline
- 4 mars 2026 : Wiz signale la vulnérabilité à GitHub via la procédure de divulgation coordonnée. GitHub déploie un correctif sur github.com dans les deux heures.
- 10 mars 2026 : Patches GHES disponibles. CVE-2026-3854 est assigné.
- 28 avril 2026 : Divulgation publique coordonnée avec publication du billet technique par Wiz et GitHub.
Versions GHES affectées et correctifs
Toutes les versions GHES antérieures aux releases suivantes sont vulnérables :
- 3.14.24 / 3.15.19 / 3.16.15 / 3.17.12 / 3.18.6 / 3.19.3
GitHub.com n'est plus vulnérable depuis le 4 mars. Pour les instances autohébergées, la mise à jour est urgente : le schéma d'exploitation est désormais public et reproductible avec des outils standards.
Pourquoi c'est particulièrement sérieux
GitHub Enterprise Server héberge souvent les dépôts les plus sensibles d'une organisation — code source propriétaire, secrets de CI/CD, pipelines de déploiement. Une RCE sur ce type d'instance donne à l'attaquant un point d'entrée sur l'ensemble de la chaîne de livraison logicielle : modification silencieuse de code, injection de backdoors dans les artefacts de build, pivot vers les systèmes de production.
Le fait que 88 % des instances étaient non patchées à la date de divulgation publique — 49 jours après la mise à disposition des correctifs — reflète un retard de patch management préoccupant sur une surface d'attaque supply-chain critique.
Recommandations
- Mettre à jour GHES immédiatement vers l'une des versions patchées listées ci-dessus.
- Auditer les logs de push sur la période mars–avril 2026 pour détecter des push options inhabituelles contenant des points-virgules.
- Restreindre temporairement l'accès en écriture aux dépôts les plus sensibles si la mise à jour immédiate est impossible.
Advisory GitHub Security (CVE-2026-3854) · NVD — CVE-2026-3854 · Analyse Wiz — GitHub RCE Breakdown