git push 1回で届くGitHub RCE、HNが論じたのは代替より信頼コスト

今回の開示で重いのは、複雑な攻撃チェーンより入口の低さだ。Wizが2026年4月28日に公開したCVE-2026-3854の分析によれば、認証済みユーザーが通常のgit pushからGitHub内部のgitパイプラインでリモートコード実行に到達できた。GitHub.comでは共有ストレージノードまで届き、GitHub Enterprise Serverではサーバ全体の掌握につながり得る経路だった。

要点は内部のX-Statヘッダ処理にある。push optionに混ざったセミコロンが新しいフィールドを注入し、同じキーが重複すると後ろの値が前を上書きする。Wizはrails_env、custom_hooks_dir、repo_pre_receive_hooksの差し替えをつなぎ、sandbox外でのhook実行まで再現した。GitHub.comは報告から6時間で緩和され、GHES向けにも修正版が出たが、公開時点でWizはサポート対象GHESの88%がなお脆弱に見えると記している。

HNの反応が長く続いたのもそこだ。論点は「ではどこへ移るか」より、「ここまで集中した開発基盤を私たちはどこまで信頼しているのか」に近かった。上位コメントはGitHubの代替が本当にあるのかを問い、返答はGitLabなどを挙げつつも、結局は代替先の品質や運用信頼性の話に戻っていった。比較表の勝ち負けより、開発組織が抱える信頼コストが前景化した。

この件は脆弱性だけでなく、研究の進め方も示している。WizはAI支援のリバースエンジニアリングによって、クローズドなバイナリとサービス間プロトコルを現実的な速度で追えたと説明した。複数言語で構成された内部サービスが、同じヘッダを少しずつ違う前提で信じている。その継ぎ目が、今後はもっと見つかりやすくなるという警告でもある。

Source: Wiz blog · Hacker News discussion