GitHub の重大脆弱性CVE-2026-3854、Git pushでリモートコード実行が可能

概要

セキュリティ研究者がGitHub.comおよびGitHub Enterprise Serverに存在する重大な脆弱性CVE-2026-3854を発見しました。CVSS スコア8.7に評価されたこの脆弱性は、コマンドインジェクション（入力値を不正に処理する攻撃手法）の一種で、リポジトリへのプッシュアクセス権を持つ認証済みユーザーが、単一の「git push」コマンドを実行するだけでリモートコード実行（RCE：不正にサーバー上でコードを実行する）が可能になります。影響範囲はGitHubの認証済みユーザーで、攻撃者がコミットをプッシュする際に悪意あるコマンドを注入できます。GitHubは早急なセキュリティパッチ適用と、不審なプッシュアクティビティの監視を推奨しています。

元記事（The Hacker News）