GitHub 内部 git 基础设施远程代码执行漏洞(CVE-2026-3854)影响 GHES 与

Wiz Research 发现 GitHub 内部 git 基础设施的关键漏洞 CVE-2026-3854。攻击者只需一次 git push，即可通过注入 X-Stat 头字段，在 GitHub Enterprise Server 上完全接管服务器，或在 GitHub.com 的共享存储节点上远程执行代码，并已确认可访问节点上其他用户和组织的数百万仓库。漏洞源于多个内部服务对协议字段解析的假设不一致。GitHub 在收到报告后 6 小时内修复了 GitHub.com，并已发布 GHES 补丁（需升级至 3.19.3），但截至文章发布时仍有 88% 的实例未修复。