غير بـ Push وحدة تقدر تريب كولشي: شرح ثغرة CVE-2026-3854 (RCE) في GitHub
Researchers Discover Critical GitHub CVE-2026-3854 RCE Flaw Exploitable via Single Git Push
غير بـ Push وحدة تقدر تريب كولشي: شرح ثغرة CVE-2026-3854 (RCE) في GitHub
الخلاصة (TL;DR)
واحد الثغرة خطيرة بزاف تكشفات مؤخراً، تيكوديو ليها بـ CVE-2026-3854 (السكون ديالها وصل لـ 8.7)، ضربات GitHub.com و GitHub Enterprise Server. هاد الثغرة كاتخلي أي مستخدم عنده صلاحية الـ push يقدر يدير Remote Code Execution (RCE) غير بأمر واحد ديال git push. هادشي كايوقع بسباب غلط في "تنقية" (sanitization) ديال الـ headers الداخلية. GitHub سدات التغرة في الـ Cloud ديالها، ولكن الـ Sysadmins في المغرب اللي خدامين بـ GitHub Enterprise Server خاصهم يدييرو Update دابا باش يحميو الداتا ديالهم.
بالنسبة للـ developers و الـ DevOps engineers في المغرب، GitHub هو السنسول ديال الـ CI/CD pipelines ديالنا. سواء كنتي خدام في Startup صغيرة ولا كاتسير الـ IT ديال شركة كبييرة في كازا ولا الرباط، السيكوريتي ديال هاد الـ platform شي حاجة مافيهاش اللعب.
في 4 مارس 2026، باحثين من شركة السيكوريتي Wiz (بالضبط Sagi Tzadik والفريق ديالو) كشفو على هاد الثغرة اللي كاتحول عملية عادية كيديرها أي Développeur — اللي هي git push — لوسيلة باش الـ Hacker يسيطر كاملا على الـ Server.
فين كاين المشكل: Command Injection بسباب الفواصل
هاد الثغرة (CVE-2026-3854) هي في الأصل مشكل ديال Command Injection. الوقيعة جاية من الطريقة باش GitHub كيتعامل مع الـ "push options" — هادوك الـ strings اللي كتقدر تزيدهم ملي كدير push (مثلاً: git push -o <option>).
على حسب ما قالت GitHub، هاد القيم اللي كيدخل المستخدم ماكانتش كتنقى مزيان قبل ما تتدخل في واحد الـ internal service header سميتو X-Stat. هاد الـ header كيخدم بـ نقطة فاصلة ( ; ) باش يفرق بين المعلومات (delimiter).
بما أن السيستيم ماكانش كيحيد هاديك ( ; ) من الـ input ديال المستخدم، الـ Attacker كيقدر "يهرب" من الحقل المخصص للداتا ويحشي أوامر (metadata) ديالو الخاصة. تقنياً، هادشي كيشبه لـ SQL injection، ولكن هاد المرة الهدف ماشي قاعدة بيانات، بل هو بروتوكول داخلي كيهضرو بيه الـ microservices ديال GitHub بيناتهم.
طريق الهجمة: الهروب من الـ Sandbox
الباحثين بينو بلي إلا جمعتي بزاف ديال القيم المحقونة، كتقدر تهرس السيكوريتي ديال GitHub كاملة. الهجمة كتمشي فهاد المراحل:
- Environment Override: كيتم حقن قيمة
rails_envباش يتلفو الإعدادات ديال البيئة (environment). - Sandbox Escape: كيحقنو
custom_hooks_dirباش يغيرو البلاصة فين كيمشي الـ server يقلب على الـ git hooks. - Path Traversal: كيحقنو
repo_pre_receive_hooksباش ينفذو أي أمر بغاو بصلاحيات المستخدمgit.
في GitHub Enterprise Server (GHES)، هادشي عطى للباحثين تحكم كامل في الـ instance، وحتى الوصول للـ filesystem. وفـ GitHub.com، قدرو يفعلوا "enterprise mode flag" باش يوصلوا لشي طرق (paths) اللي فالعادة ممنوعة، وهادشي خلاهم ينفذو code على البنية التحتية المشتركة في الـ cloud.
الخطورة: كولشي يقدر يتكشف (Cross-Tenant Exposure)
هادشي كيشكل خطر كبير على الـ tech ecosystem في المغرب، حيت بزاف ديال الشركات كيعتمدو على GitHub اللي فيه بزاف ديال الكليان مجموعين (multi-tenant architecture).
الباحثين ديال Wiz قالوا بلي الوصول لـ code execution في GitHub.com كيسمح بـ cross-tenant exposure. هادشي كيعني أن الـ Attacker يقدر (نظرياً) يشوف الداتا ديال الملايين ديال الـ repositories ديال شركات أخرى، واخا يكون عندو صلاحية الـ push غير في repository واحد بسيط وماعندو علاقة بيهم.
فاش يالله اكتشفوا الثقبة، Wiz قدرات بلي تقريبا 88% ديال الـ instances كانت معرضة للخطر.
كيفاش تحمي راسك والخطوات اللازمة
الخبر المزيان هو أن GitHub تحركوا دغيا وسدوا هاد الثغرة فـ GitHub.com ساعتين مورا ما توصلوا بالتقرير. ولكن، بالنسبة لناس اللي كيجيريو GitHub Enterprise Server (GHES) في الـ Data centers ديالهم هنا في المغرب، خاصهم يديرو الـ Updates بيديهم.
المنتجات اللي تقاسوا:
- GitHub.com
- GitHub Enterprise Cloud
- GitHub Enterprise Server (GHES)
الإصدارات اللي خاصك تكون فيها: إلا كنتي Sysadmin، تأكد بلي الـ GHES اللي عندك راه Update لواحد من هاد الـ versions (أو ما أحدث):
- 3.14.25
- 3.15.20
- 3.16.16
- 3.17.13
- 3.18.8
- 3.19.4
- 3.20.0
خاتمة
CVE-2026-3854 هي تفكيرة لينا كاملين باللي حتى أكثر الأدوات اللي كنثيقوا فيها فـ الـ stack ديالنا يقدروا يكونوا فيهم ثغرات "ساهلة بزاف" فاش البروتوكولات الداخلية كتدير الثقة العمياء في الـ input ديال المستخدم. واخا ما كاين حتى دليل باللي هاد الثغرة تخدمات فـ هجمات حقيقية، القوة ديال التأثير ديالها — اللي كتوصل للملايين ديال الـ private repos — كتخليها وحدة من أخطر الثغرات ديال Git في السنوات الأخيرة.
الدرس اللي خاص تاخدو الفرق الهندسة في المغرب: ديما راجعو كيفاش الداتا كتدوز بين الـ services الداخلية ديالكم، خاصة فاش كونو هاد الـ services مكتوبين بلغات مختلفة وكيشاركو نفس البروتوكول.
المصدر: The Hacker News - Researchers Discover Critical GitHub CVE-2026-3854 RCE Flaw
