Execução Remota de Código Crítica Descoberta no GitHub.com e GitHub Enterprise Server (CVE-2026-3854)

A falha CVE-2026-3854 (CVSS 8.7) é uma injeção de cabeçalho X-Stat no pipeline interno de git do GitHub, onde o babeld incorporou valores de opção de git push sem sanitizar ponto e vírgulas. Isso permitiu que qualquer usuário autenticado sobrescrevesse campos de segurança através de parsing last-write-wins em um único git push. O encadeamento de injeções de rails_env, custom_hooks_dir e repo_pre_receive_hooks contornou o caminho de pre-receive em sandbox e desencadeou path traversal, possibilitando a execução de binários arbitrários como o usuário de serviço git.

Este vetor de ataque resultou em RCE em nós de armazenamento compartilhado do GitHub.com, que hospedam milhões de repositórios multi-inquilino, e no comprometimento completo do GHES <=3.19.1. O GitHub corrigiu o GitHub.com em 6 horas. Administradores do GHES devem atualizar para 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 ou 3.19.3 imediatamente, visto que 88% das instâncias permanecem vulneráveis.