GitHub’da Kritik Güvenlik Açığı: CVE-2026-3854
GitHub, Mart ayının başlarında, saldırganların milyonlarca özel depoya erişim sağlayabileceği kritik bir uzak kod yürütme açığını (CVE-2026-3854) kapattı. Bu durum, hem bireysel kullanıcılar hem de büyük firmalar için önemli bir güvenlik tehdidi oluşturuyordu.
Saldırı Nasıl Çalışıyor?
Açığın istismar edilmesi, yalnızca kötü niyetli bir şekilde hazırlanmış bir ‘git push’ komutu gerektirir. Başarılı bir saldırı sonucunda, tamamen özel depolar üzerinde tam okuma/yazma erişimi elde edilebilir. Açığın kaynağı, GitHub’un kullanıcıdan alınan seçenekleri nasıl işlediği ile ilgilidir; kullanıcılar tarafından sağlanan değerler, yetersiz sterilizasyondan kaynaklanarak sunucu meta verilerine dahil edilmektedir. Bu, saldırganların aşağıdaki hizmetler tarafından güvenilen ek alanlar enjekte etmelerine olanak tanır.
Etkilenen Sistemler
CVE-2026-3854, şu sistemleri etkilemektedir:
- GitHub.com
- GitHub Enterprise Cloud
- GitHub Enterprise Cloud with Data Residency
- GitHub Enterprise Cloud with Enterprise Managed Users
- GitHub Enterprise Server
Saldırganlar, çok sayıda enjekte edilmiş değer ile sanal alan korumalarını aşarak sunucu üzerinde rastgele kod yürütme imkanına sahip olabilmektedir. Wiz temsilcisi, bu açığın yüzyılın en ciddi SaaS güvenlik açıklarından biri olduğunu belirtmektedir.
Çözüm ve Korunma
GitHub, bu kritik güvenlik sorununu CVE-2026-3854 için hızlıca bir düzeltme yayımlamıştır ve tüm desteklenen sürümler için güncellemeler sağlanmaktadır. Güncellenmesi gereken sürümler şunlardır:
- 3.14.25
- 3.15.20
- 3.16.16
- 3.17.13
- 3.18.8
- 3.19.4
- 3.20.0 veya sonrası
Wiz güvenlik araştırmacısı, GitHub Enterprise Server (GHES) yöneticilerinin derhal güncellemeleri önerdiğini belirtmiştir; çünkü erişilebilir GHES örneklerinin yaklaşık %88’i hala savunmasız durumdadır. Ancak, açığın kötüye kullanımına dair herhangi bir kanıt bulunmadığı belirtilmiştir.
Sonuç
GitHub kullanıcıları ve yöneticileri için acil bir eylem planı bulunmaktadır. Tüm kullanıcıların, GitHub.com‘daki yamanmış versiyonlara geçmeleri ve GitHub Enterprise Server‘da mevcut her sürüm için güncellemeleri yapmaları gerekmektedir. Port kapatma gibi ek önlemler düşünülmeli ve düzenli güncellemeler sağlanmalıdır.
