CVE-2026-3854: vulnerabilità RCE critica su GitHub scoperta dall'IA

CVE-2026-3854: vulnerabilità RCE critica su GitHub scoperta dall'IA

Wiz Research ha recentemente divulgato i dettagli di CVE-2026-3854, una vulnerabilità critica che ha colpito l'infrastruttura interna di GitHub. Il difetto, segnalato il 4 marzo 2026, avrebbe permesso l'esecuzione di codice remoto (RCE) sui server backend tramite un semplice comando git push. Sebbene GitHub.com sia stato protetto tempestivamente, la scoperta segna un punto di svolta per la sicurezza informatica: è uno dei primi casi in cui l'Intelligenza Artificiale è stata utilizzata con successo per individuare una vulnerabilità critica in binari closed-source, un'impresa considerata fino a oggi proibitiva.

L'uso dell'IA nel reverse engineering: una prima storica

La novità tecnica più rilevante emersa dal report di Wiz riguarda la metodologia di scoperta. I ricercatori hanno impiegato l'Intelligenza Artificiale per eseguire il reverse engineering di binari proprietari (closed-source) di GitHub, utilizzando strumenti come IDA MCP. Come sottolineato da Wiz Research, "in modo notevole, questa è una delle prime vulnerabilità critiche scoperte in binari closed-source usando l'IA, evidenziando un cambiamento nel modo in cui questi difetti vengono identificati". Questo approccio apre scenari inediti per la cybersecurity offensiva, dimostrando che l'IA può superare le barriere dell'oscurità del codice sorgente proprietario, tradizionalmente un ostacolo insormontabile per l'analisi delle vulnerabilità.

Meccanismo tecnico: l'iniezione nell'header X-Stat

La vulnerabilità CVE-2026-3854 risiede nella mancata sanificazione dei valori delle opzioni push all'interno dell'header interno X-Stat. I ricercatori hanno definito l'exploit "notevolmente facile" da sfruttare. L'attacco si articolava concatenando tre iniezioni di comandi specifiche:

• rails_env: utilizzato per bypassare le protezioni della sandbox.
• custom_hooks_dir: impiegato per redirigere la directory di esecuzione.
• repo_pre_receive_hooks: sfruttato per l'esecuzione arbitraria del codice.

Secondo Alexis Wales, CISO di GitHub, "concatenando diversi valori iniettati, i ricercatori hanno dimostrato che un attaccante poteva sovrascrivere l'ambiente in cui il push veniva processato, bypassare le protezioni di sandboxing che normalmente limitano l'esecuzione degli hook e, infine, eseguire comandi arbitrari sul server".

Impatto e accesso ai repository

Lo sfruttamento della vulnerabilità garantiva all'attaccante privilegi significativi. Sagi Tzadik, ricercatore di sicurezza di Wiz, ha spiegato che "con l'esecuzione di codice non confinato come utente git, avevamo il pieno controllo sull'istanza GHES, incluso l'accesso in lettura/scrittura al filesystem e la visibilità sulla configurazione dei servizi interni". Nello specifico, l'utente git permetteva l'accesso in lettura a qualsiasi repository presente sul nodo compromesso, indipendentemente dal proprietario, mettendo a rischio milioni di repository pubblici e privati sui nodi di storage condivisi di GitHub.com.

Al momento della divulgazione, si è osservato che circa l'88% delle istanze GitHub Enterprise Server risultava ancora vulnerabile. Il punteggio CVSS assegnato alla vulnerabilità è 8.7, confermandone la gravità. Fortunatamente, non ci sono prove di sfruttamento malevolo in contesti reali.

Tempistiche di risoluzione e discrepanze informative

Sulle tempistiche di correzione, le fonti forniscono dati parzialmente discordanti. Secondo The Hacker News, GitHub avrebbe corretto GitHub.com entro due ore dalla validazione, mentre Wiz riporta una mitigazione avvenuta entro 6 ore dal report. Anche le versioni di patch indicate presentano differenze: The Hacker News elenca le versioni corrette 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4 e 3.20.0+, mentre Wiz cita le versioni 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 e 3.19.3+. Gli amministratori di sistema sono invitati a verificare i changelog ufficiali per identificare la versione corretta corretta per la propria infrastruttura.

Domande frequenti

Cos'è la vulnerabilità CVE-2026-3854?

È una vulnerabilità critica (CVSS 8.7) nell'infrastruttura interna di GitHub che permetteva l'esecuzione di codice remoto (RCE) sui server backend tramite l'iniezione di comandi durante un'operazione git push.

Come è stata scoperta CVE-2026-3854?

È stata scoperta dai ricercatori di Wiz utilizzando l'Intelligenza Artificiale per eseguire il reverse engineering di binari closed-source, una delle prime volte che l'IA viene usata con successo per trovare bug critici in software proprietario.

Qual è il rischio per le aziende?

Un attaccante poteva ottenere accesso in lettura a tutti i repository su un nodo compromesso e pieno controllo sull'istanza GitHub Enterprise Server, inclusa la lettura/scrittura del filesystem e la visione delle configurazioni interne.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Fonti

• https://www.wiz.io/blog/github-rce-vulnerability-cve-2026-3854
• https://borecraft.com/2026/04/28/github-push-pipeline-rce-cve-2026-3854-patched-on-github-com-ghes-admins-must-upgrade/
• https://news.ycombinator.com/item?id=47936479
• https://nvd.nist.gov/vuln/detail/CVE-2026-3854