影響範囲と今後の対策
詳細を読む
GitHubは2026年3月4日、セキュリティ研究企業Wizからバグバウンティプログラムを通じて、git pushパイプラインにおける重大なリモートコード実行(RCE)脆弱性の報告を受けました。この脆弱性はgithub.com、GitHub Enterprise Cloud、GitHub Enterprise Serverなど広範な製品に影響するものでした。
脆弱性の原因は、ユーザーが指定するgit pushオプションの値が内部メタデータに取り込まれる際、区切り文字のサニタイズが不十分だった点にあります。攻撃者はこの欠陥を利用して内部フィールドを注入し、サンドボックス保護を迂回して、サーバー上で任意のコマンドを実行できる状態でした。攻撃にはリポジトリへのプッシュ権限さえあれば十分で、自分で作成したリポジトリでも悪用が可能でした。
GitHubのセキュリティチームは報告から40分以内に脆弱性を再現し、同日19時(UTC)にはgithub.comへの修正を展開しました。並行して実施したフォレンジック調査では、この脆弱性が通常運用では決して通らないコードパスを強制的に実行するという性質を利用し、テレメトリを精査しています。その結果、Wizの研究者自身のテスト以外に悪用の痕跡は確認されず、顧客データへの影響もなかったと結論づけられました。
GitHub Enterprise Server向けには、3.14.25から3.20.0まで全サポートバージョンのパッチが公開され、CVE-2026-3854として登録されています。GHESの管理者にはプッシュオプションにセミコロンを含む操作がないか監査ログの確認と、速やかなアップグレードが推奨されています。
さらにGitHubは、根本的な入力サニタイズ修正に加え、本来その環境に不要だったコードパスをコンテナイメージから除去する多層防御策も実施しました。これはデプロイモデルの変更時にコード除外設定が引き継がれなかったことが原因で残存していたもので、今後同様の注入脆弱性が発見された場合でも被害範囲を限定する効果があります。GitHubはWizの報告をバグバウンティプログラム史上最高級の報奨金で評価すると発表しています。