Falha crítica no GitHub expôs repositórios

Uma vulnerabilidade crítica no GitHub permitia a execução remota de código e expôs potencialmente milhões de repositórios, segundo uma investigação da Wiz.

A falha, identificada como CVE-2026-3854, afetava a infraestrutura interna de Git da plataforma, incluindo GitHub[.]com e GitHub Enterprise Server. O problema resultava de uma vulnerabilidade de injeção no protocolo interno, que podia ser explorada através de um simples comando git push.

De acordo com os investigadores, qualquer utilizador autenticado com permissões de escrita num repositório, incluindo um criado pelo próprio, podia executar comandos arbitrários nos servidores do GitHub.

No caso do GitHub Enterprise Server, a exploração poderia levar ao comprometimento total da instância, com acesso a todos os repositórios e segredos internos. Já no GitHub[.]com, o impacto incluía execução remota de código em nós de armazenamento partilhados, onde coexistem dados de múltiplos utilizadores e organizações.

A Wiz refere que a vulnerabilidade permitia aceder a repositórios públicos e privados armazenados nos sistemas afetados, aumentando significativamente o risco para empresas e projetos open source.

Apesar de exigir autenticação, a falha não era considerada de baixo risco, dado que qualquer utilizador com permissões básicas poderia explorá-la. A exploração foi descrita como relativamente simples.

O GitHub corrigiu a vulnerabilidade no próprio dia em que foi reportada, a 4 de março, no caso do serviço GitHub[.]com. A correção para GitHub Enterprise Server foi disponibilizada a 10 de março.

No entanto, dados recentes indicam que cerca de 88% das instâncias de GitHub Enterprise Server ainda não tinham aplicado a atualização, mantendo-se potencialmente vulneráveis.

A empresa afirma não ter identificado exploração ativa da falha antes da correção, após análise forense. Ainda assim, a divulgação técnica do problema aumenta a urgência de atualização por parte das organizações.