高風險GitHub漏洞極容易被利用，攻擊者只需透過推送Git就能觸發

漏洞簡介

針對今年3月初修補的資安漏洞CVE-2026-3854，GitHub與通報此事的資安公司Wiz指出，此漏洞讓攻擊者能夠取得推送儲存庫的權限，並於GitHub Enterprise Server（GHES）主機執行任意程式碼，CVSS風險為8.8分（CVSS v4.0為8.7分）。

攻擊方式

攻擊者僅需執行一條標準的git push命令，即可觸發遠端程式碼執行，進而訪問數百萬個公共與私有倉庫。此漏洞影響範圍廣泛，任何經過身份驗證的用戶皆可能被利用。

修補資訊

GitHub於3月上旬發布3.14.25、3.15.20、3.16.16、3.17.13、3.18.7、3.19.4版GitHub Enterprise Server（GHES）修補此高風險漏洞。

當前狀況

儘管漏洞已修補，目前仍有近9成的GitHub Enterprise Server（GHES）尚未更新，IT人員應立即檢查系統版本並進行補丁更新，以降低安全風險。

來源：https://www.ithome.com.tw/news/175406