«Punto y coma» contra GitHub: un código olvidado permitió tomar la plataforma en 40 minutos
Instan a los administradores de GitHub Enterprise a actualizar el sistema de inmediato.
El comando git push habitual resultó ser mucho más peligroso de lo que suele creerse. En la infraestructura de GitHub se encontró una vulnerabilidad, que convertía la operación habitual con código en un posible punto de ataque.
El problema fue detectado por el equipo de la empresa Wiz y se informó a través del programa de recompensas el 4 de marzo de 2026. Tras 40 minutos, los especialistas de GitHub pudieron reproducir el ataque y confirmaron el nivel crítico de peligro. Menos de dos horas después la compañía publicó una corrección para la plataforma principal e inició la revisión de los registros.
La esencia de la vulnerabilidad residía en cómo el sistema procesa los parámetros del comando git push. Al enviar código, el cliente puede transmitir valores adicionales en formato «clave-valor». Esos datos llegaban a mensajes internos de servicio entre los componentes de la plataforma. La validación de esos valores fue insuficiente. Un atacante podía insertar un separador especial y añadir en los datos de servicio sus propios campos, que el sistema interpretaba como confiables.
A continuación, el ataque se desarrollaba en cadena. Los valores insertados permitían modificar el entorno de procesamiento de la operación, eludir las restricciones del entorno aislado y, finalmente, ejecutar comandos en el servidor de GitHub. Ahora, tras la corrección, los parámetros proporcionados por el usuario se limpian y no afectan los datos internos. Para la versión empresarial GitHub Enterprise Server se publicaron actualizaciones y a la vulnerabilidad se le asignó el identificador CVE-2026-3854.
Tras la resolución del problema, el equipo comprobó si alguien había aprovechado la vulnerabilidad. El ataque deja una huella característica. El servidor se ve obligado a pasar a un modo de funcionamiento raro, que no aparece en la operación normal. El análisis de registros mostró que esos casos están relacionados únicamente con pruebas realizadas por especialistas. No se encontraron indicios de ataques reales; los datos de los usuarios no resultaron afectados.
Durante el análisis se descubrió otro detalle. En el entorno del servidor existía un fragmento de código que no debía estar ahí. Permaneció tras un cambio en el proceso de despliegue. Esa sección también se eliminó para reducir las posibles consecuencias de errores similares en el futuro. Las versiones en la nube de GitHub ya están actualizadas y no requieren acción por parte de los usuarios. Se recomienda a los propietarios de GitHub Enterprise Server instalar cuanto antes las versiones recientes y revisar los registros en busca de comandos sospechosos con el símbolo «;» en los parámetros de envío.