Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến nền tảng phát triển phần mềm GitHub, cho phép kẻ tấn công thực thi mã từ xa (RCE) chỉ thông qua một thao tác git push.
Lỗ hổng được định danh là CVE-2026-3854, đạt điểm CVSS 8.7, được đánh giá ở mức nghiêm trọng cao. Theo các chuyên gia, chỉ cần một tài khoản đã xác thực và có quyền đẩy mã (push access) vào kho lưu trữ, kẻ tấn công có thể khai thác để thực thi lệnh tùy ý trên máy chủ GitHub hoặc GitHub Enterprise Server (GHES).
Vấn đề nằm ở chỗ định dạng metadata nội bộ này sử dụng dấu chấm phẩy (
làm ký tự phân cách — cũng chính là ký tự có thể xuất hiện trong dữ liệu đầu vào của người dùng. Điều này mở ra khả năng cho kẻ tấn công chèn thêm các trường siêu dữ liệu độc hại, từ đó thao túng quá trình xử lý phía máy chủ.
GitHub cho biết đây là một dạng command injection, cho phép vượt qua các biện pháp sandbox bảo vệ hook execution và dẫn tới thực thi mã từ xa.
Hiện chưa ghi nhận bằng chứng cho thấy lỗ hổng đã bị khai thác ngoài thực tế.
Tuy nhiên, do cờ này cũng được truyền trong cùng tiêu đề X-Stat, kẻ tấn công có thể lợi dụng cùng cơ chế injection để thay đổi giá trị thành true, qua đó kích hoạt lại đường khai thác.
Trong môi trường hạ tầng đa người dùng của GitHub.com, điều này đặc biệt nguy hiểm vì có thể dẫn đến rò rỉ dữ liệu giữa các tenant, cho phép truy cập trái phép vào hàng triệu kho mã nguồn thuộc các tổ chức và người dùng khác nhau.
Lỗ hổng được định danh là CVE-2026-3854, đạt điểm CVSS 8.7, được đánh giá ở mức nghiêm trọng cao. Theo các chuyên gia, chỉ cần một tài khoản đã xác thực và có quyền đẩy mã (push access) vào kho lưu trữ, kẻ tấn công có thể khai thác để thực thi lệnh tùy ý trên máy chủ GitHub hoặc GitHub Enterprise Server (GHES).
Nguyên nhân xuất phát từ “push options”
Theo thông báo từ GitHub, trong quá trình xử lý lệnh git push, các giá trị tùy chọn push do người dùng cung cấp không được kiểm tra và xử lý đúng cách trước khi được chèn vào tiêu đề dịch vụ nội bộ có tên X-Stat.
Vấn đề nằm ở chỗ định dạng metadata nội bộ này sử dụng dấu chấm phẩy (
làm ký tự phân cách — cũng chính là ký tự có thể xuất hiện trong dữ liệu đầu vào của người dùng. Điều này mở ra khả năng cho kẻ tấn công chèn thêm các trường siêu dữ liệu độc hại, từ đó thao túng quá trình xử lý phía máy chủ.GitHub cho biết đây là một dạng command injection, cho phép vượt qua các biện pháp sandbox bảo vệ hook execution và dẫn tới thực thi mã từ xa.
Wiz phát hiện, GitHub vá trong 2 giờ
Công ty bảo mật đám mây Wiz (thuộc Google) là đơn vị phát hiện và báo cáo lỗ hổng này vào ngày 4/3/2026. Theo GitHub, bản vá cho GitHub.com đã được triển khai chỉ trong vòng hai giờ sau khi tiếp nhận báo cáo.Hiện chưa ghi nhận bằng chứng cho thấy lỗ hổng đã bị khai thác ngoài thực tế.
Chuỗi khai thác gồm 3 bước
Theo phân tích của Wiz, chuỗi tấn công kết hợp ba kỹ thuật chèn mã liên tiếp:- Chèn giá trị rails_env không thuộc môi trường production nhằm vô hiệu hóa sandbox
- Chèn custom_hooks_dir để kiểm soát thư mục chứa hook
- Chèn mục hook độc hại vào repo_pre_receive_hooks, kết hợp path traversal để thực thi lệnh tùy ý với quyền người dùng git
GitHub.com còn nguy hiểm hơn
Đáng chú ý, trên GitHub.com, tính năng custom hooks vốn bị vô hiệu hóa mặc định thông qua cờ enterprise_mode=false.Tuy nhiên, do cờ này cũng được truyền trong cùng tiêu đề X-Stat, kẻ tấn công có thể lợi dụng cùng cơ chế injection để thay đổi giá trị thành true, qua đó kích hoạt lại đường khai thác.
Trong môi trường hạ tầng đa người dùng của GitHub.com, điều này đặc biệt nguy hiểm vì có thể dẫn đến rò rỉ dữ liệu giữa các tenant, cho phép truy cập trái phép vào hàng triệu kho mã nguồn thuộc các tổ chức và người dùng khác nhau.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
