Faille critique GitHub : un simple git push permettait d’exécuter du code
Des chercheurs en sécurité de Wiz ont découvert une vulnérabilité critique dans l’infrastructure interne de GitHub, permettant à n’importe quel utilisateur authentifié d’exécuter du code arbitraire sur les serveurs de la plateforme, le tout avec une seule commande git. Un git push. C’est, à peu près, tout ce qu’il fallait.
Pas d’exploit sophistiqué, pas de vulnérabilité zero-day dans une librairie obscure. Juste une commande que des millions de développeurs tapent des dizaines de fois par jour, et qui, jusqu’au 4 mars 2026, pouvait suffire à prendre le contrôle de serveurs internes de GitHub. Et potentiellement accéder aux dépôts privés de n’importe quelle organisation hébergée sur la plateforme.
La faille, référencée CVE-2026-3854, a été découverte par l’équipe Wiz Research et rendue publique le 28 avril. Elle touche deux cibles distinctes : GitHub.com, la plateforme cloud utilisée par des centaines de millions de développeurs dans le monde, et GitHub Enterprise Server (GHES), la version auto-hébergée utilisée par les grandes entreprises et administrations.
Pour comprendre la faille, il faut d’abord comprendre ce qui se passe en coulisses quand vous poussez du code sur GitHub. Votre commande ne va pas directement dans un dépôt, elle traverse une chaîne de plusieurs services internes, chacun écrit dans un langage différent, qui se passent des informations via un header HTTP interne, appelé X-Stat.
Ce header fonctionne comme un formulaire à cases qui contient des paires « clé=valeur » séparées par des points-virgules. Le premier service de la chaîne, nommé « babeld », construit ce header après avoir vérifié l’identité de l’utilisateur. Les services suivants lui font confiance les yeux fermés.
Problème : quand babeld intègre des push options dans ce header, il ne filtre pas les points-virgules. Or, le point-virgule joue précisément le rôle de délimiteur dans le header, ce qui permet à un attaquant d’injecter de nouveaux champs. En combinant plusieurs champs internes sensibles, les chercheurs de Wiz ont démontré qu’il était possible d’exécuter du code arbitraire à distance sur l’infrastructure interne de GitHub.
GitHub.com a reçu un correctif six heures après le signalement, le 4 mars 2026. Pour GHES, des patches ont été publiés pour toutes les versions supportées. Au moment de la divulgation publique, 88 % des instances GHES recensées par Wiz étaient encore vulnérables.
Source : Wiz Research.
