{"id":585910,"date":"2026-04-29T18:45:00","date_gmt":"2026-04-29T21:45:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/29\/github-corrige-falha-critica-que-permitia-invadir-repositorios-via-comando\/"},"modified":"2026-04-29T18:45:00","modified_gmt":"2026-04-29T21:45:00","slug":"github-corrige-falha-critica-que-permitia-invadir-repositorios-via-comando","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/04\/29\/github-corrige-falha-critica-que-permitia-invadir-repositorios-via-comando\/","title":{"rendered":"GitHub corrige falha cr\u00edtica que permitia invadir reposit\u00f3rios via comando"},"content":{"rendered":"<p>GitHub corrigiu uma falha cr\u00edtica que permitia invadir reposit\u00f3rios com simples comando. Pesquisadores da Wiz identificaram a vulnerabilidade que afetou tanto o GitHub.com quanto o GitHub Enterprise Server. O problema poderia ser explorado por usu\u00e1rios autenticados, abrindo caminho para execu\u00e7\u00e3o de comandos arbitr\u00e1rios nos servidores.<\/p>\n<p>A falha, registrada como CVE-2026-3854, foi fechada rapidamente no GitHub.com, com corre\u00e7\u00e3o aplicada em menos de seis horas ap\u00f3s o relato. No Enterprise Server, patches foram disponibilizados, mas, na divulga\u00e7\u00e3o, 88% das inst\u00e2ncias ainda estavam vulner\u00e1veis.<\/p>\n<p>O defeito foi encontrado durante a an\u00e1lise de um pipeline de push. Em termos simples, o processo do push passa por babeld, gitauth e outros servi\u00e7os, que constroem um cabe\u00e7alho interno chamado X-Stat com pares chave=valor separados por ponto e v\u00edrgula.<\/p>\n<h3>Como funcionava<\/h3>\n<p>O X-Stat era lido pelo servi\u00e7o gitrpcd, que preparava o ambiente para etapas seguintes. A falha ocorria porque o Babeld aceitava op\u00e7\u00f5es arbitr\u00e1rias via o par\u00e2metro -o e as inseria no cabe\u00e7alho sem sanear o separador ponto e v\u00edrgula.<\/p>\n<p>Essa inser\u00e7\u00e3o permitia que um atacante explorasse o formato do cabe\u00e7alho, com o \u201c\u00faltimo vence\u201d de parsing, sobrescrevendo valores leg\u00edtimos. A pr\u00e1tica desativava pol\u00edticas de seguran\u00e7a, como limites de tamanho de arquivo, com um push malicioso.<\/p>\n<h3>Dois caminhos de execu\u00e7\u00e3o<\/h3>\n<p>Ao analisar o hook de pr\u00e9-recebimento, pesquisadores descobriram dois caminhos de execu\u00e7\u00e3o: um com sandbox e outro sem isolamento. A escolha dependia do campo rails_env no X-Stat, que era mut\u00e1vel pela mesma t\u00e9cnica de inje\u00e7\u00e3o.<\/p>\n<p>O ataque envolvia tr\u00eas passos de inje\u00e7\u00e3o: alterar rails_env para sair da sandbox, mudar custom_hooks_dir para indicar scripts indesejados e injetar repo_pre_receive_hooks com path traversal para acionar um bin\u00e1rio arbitr\u00e1rio.<\/p>\n<h3>Respectivo impacto<\/h3>\n<p>O ataque permitia que um usu\u00e1rio autenticado executasse comandos remotos nos servidores do GitHub, com acesso potencial a \u00e1reas cr\u00edticas. Pesquisas mostraram que milh\u00f5es de reposit\u00f3rios poderiam ficar sob controle do invasor sem ferramentas adicionais.<\/p>\n<p>No GitHub.com, o caminho de hooks customizados n\u00e3o era ativo por padr\u00e3o, o que inicialmente reduzia o risco. No Enterprise Server, por\u00e9m, o modo de opera\u00e7\u00e3o permitia esse caminho com maior facilidade.<\/p>\n<h3>Descoberta com intelig\u00eancia artificial<\/h3>\n<p>A Wiz utilizou ferramentas de engenharia reversa com suporte de IA para reconstruir os protocolos internos. O uso do IDA MCP acelerou a an\u00e1lise de bin\u00e1rios, apontando para uma tend\u00eancia de vulnerabilidades em sistemas fechados que podem ser identificadas com IA.<\/p>\n<p>Os pesquisadores destacaram que a abordagem pode facilitar a detec\u00e7\u00e3o de falhas complexas em ambientes de grande escala. A Wiz informou as autoridades t\u00e9cnicas do GitHub, que implementaram patches e orientaram a atualiza\u00e7\u00e3o das inst\u00e2ncias afetadas.<\/p>\n<h3>Status das medidas<\/h3>\n<p>O GitHub confirmou que o problema foi resolvido no n\u00edvel p\u00fablico rapidamente e que patches chegaram ao Enterprise Server. A orienta\u00e7\u00e3o segue para que usu\u00e1rios e administradores atualizem seus ambientes para evitar explora\u00e7\u00e3o adicional.<\/p>\n<h3>Fontes e credibilidade<\/h3>\n<p>A divulga\u00e7\u00e3o segue relatos da Wiz e confirmam a\u00e7\u00f5es corretivas do GitHub. As informa\u00e7\u00f5es refor\u00e7am a import\u00e2ncia de atualiza\u00e7\u00f5es de seguran\u00e7a cont\u00ednuas em plataformas de c\u00f3digo-fonte hospedado.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Vulnerabilidade CVE-2026-3854 permitia que usu\u00e1rios autenticados executassem comandos arbitr\u00e1rios nos servidores do GitHub, afetando o GitHub.com e o GitHub Enterprise Server.<\/li>\n<li>A falha poderia ser explorada com um push git simples, usando o par\u00e2metro -o para adicionar op\u00e7\u00f5es arbitr\u00e1rias que eram incorporadas no cabe\u00e7alho interno X-Stat sem sanitiza\u00e7\u00e3o.<\/li>\n<li>O mecanismo de parsing seguia a regra de \u201c\u00faltimo valor vence\u201d, o que permitia sobrepor valores leg\u00edtimos e desativar pol\u00edticas de seguran\u00e7a como limites de tamanho de arquivo.<\/li>\n<li>A explora\u00e7\u00e3o avan\u00e7ava para execu\u00e7\u00e3o de c\u00f3digo por meio de injec\u00e7\u00e3o em tr\u00eas etapas no hook de pr\u00e9-recebimento, chegando a scripts de hook fora da sandbox com acesso ao sistema de arquivos.<\/li>\n<li>O GitHub corrigiu o problema no GitHub.com em menos de seis horas; no Enterprise Server, patches foram lan\u00e7ados, mas 88% das inst\u00e2ncias ainda estavam vulner\u00e1veis na divulga\u00e7\u00e3o. A descoberta utilizou intelig\u00eancia artificial para analisar bin\u00e1rios internos.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":585952,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Vulnerabilidade permitia execu\u00e7\u00e3o de comandos remotos nos servidores do GitHub; corre\u00e7\u00e3o r\u00e1pida no GitHub.com, mas 88% das inst\u00e2ncias do Enterprise Server ainda estavam vulner\u00e1veis","footnotes":""},"categories":[298,1],"tags":[85,105,100,101,132,189],"class_list":["post-585910","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-inovacao","tag-inteligencia-artificial","tag-noticia","tag-pessoas","tag-startups","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/585910","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=585910"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/585910\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/585952"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=585910"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=585910"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=585910"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}