EUVD-2026-10744 / CVE-2026-3854 GitHub-Schwachstelle legt Millionen von Repositories offen

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Fujitsu Technology Solutions GmbH

FTAPI Software GmbH

Eine GitHub-Schwachstelle ermöglicht Remote Code Execution und machte Millionen Repositories zugänglich für Cyberangreifer. Schon Anfang März folg­ten Patches für GitHub.com und Enterprise Server, doch viele Instanzen blieben zunächst ungepatcht.

Über das Bug-Bounty-Programm von GitHub haben Sicherheitsforscher von Wiz die Ent­wick­ler­plattform alarmiert: Eine Schwachstelle im Umgang mit Sonderzeichen erlaubt es Cyber­an­greifern mit Push-Zugriff auf ein Repository, Remote Code auszuführen.

Unberechtigte Lese- und Schreibrechte

Kritische RCE-Schwachstelle verbreitet sich über Microsoft-GitHub-Repository

Repositories und Secrets gefährdet

Die Schwachstelle, die als EUVD-2026-10744 / CVE-2026-3854 (CVSS-Score 8.7, EPSS-Score^* 0.30) geführt wird, betrifft eine Reihe von Versionen von GitHub Enterprise Server und ge­fähr­det Millionen von Repositories:

• 3.18.0 ≤3.18.5

• 3.14.0 ≤3.14.23

• 3.16.0 ≤3.16.15

• 3.14.0 ≤3.14.24

• 3.16.0 ≤3.16.14

• 3.18.0 ≤3.18.6

• 3.15.0 ≤3.15.18

• 3.19.0 ≤3.19.2

• 3.17.0 ≤3.17.12

• 3.17.0 ≤3.17.11

• 3.19.0 ≤3.19.3

• 3.15.0 ≤3.15.19

Glassworm kompromittiert 151 GitHub-Repositories in einer Woche

Wie Glassworm vier Ökosysteme gleichzeitig unterwanderte

„Durch die Ausnutzung einer Injection-Schwachstelle im internen Protokoll von GitHub konnte jeder authentifizierte Benutzer beliebige Befehle auf den Backend-Servern von GitHub aus­füh­ren – und zwar mit einem einzigen 'git push'-Befehl und unter Verwendung nichts weiter als eines Standard-Git-Clients“, erklärt Wiz-Analyst Sagi Tzadik in seinem Bericht. Dies wirkte sich sowohl auf den GitHub Enterprise Server als auch auf GitHub.com aus. Tzadik erläutert, dass die Ausnutzung der Sicherheitslücke einfach sei, die Folgen umso gravierender. Im Falle des GitHub Enterprise Server könne ein Angreifer die Schwachstelle ausnutzen, um den Server voll­ständig zu kompromittieren und Zugriff auf alle Repositories sowie interne Geheimnisse zu erlangen. Die Auswirkungen auf GitHub.com seien noch schlimmer, da EUVD-2026-10744 / CVE-2026-3854 dort die Ausführung von Remote Code auf gemeinsam genutzten Speicher-Knoten ermögliche. „Wir konnten bestätigen, dass Millionen öffentlicher und privater Re­positories, die anderen Nutzern und Organisationen gehören, auf den betroffenen Knoten zugänglich waren“, schreibt Tzadik. Daneben habe die Sicherheitslücke auch die GitHub En­ter­prise Cloud, die Git­Hub En­ter­prise Cloud mit Data Residency sowie die GitHub En­ter­prise Cloud mit En­ter­prise Managed Users betroffen.

GitHub, npm und VS Code betroffen

Neue GlassWorm-Angriffswelle trifft Hunderte von Repositories und Pakete

Patch-Installation steht bei vielen noch aus

GitHub hat auf die Meldung von Wiz am 4. März 2026 schnell reagiert und noch am selben Tag den Fehler bei GitHub.com serverseitig behoben. Zeitgleich wurden auch aktualisierte Ver­sio­nen von Enterprise Cloud, Enterprise Cloud mit Data Residency und Enterprise Cloud mit En­ter­prise Managed Users veröffentlicht. Enterprise Server erhielt mit den Versionen 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7 und 3.19.4 einige Tage später am 10. März einen Patch. Laut dem Bericht von Wiz vom 28. April waren zum damaligen Zeitpunkt noch 88 Prozent der Enterprise-Server-Instanzen nicht auf eine gepatchte Version aktualisiert worden.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

Analyse von Sysdig

So werden Self-hosted GitHub Actions Runner als Backdoors missbraucht

(ID:50832699)