プライベートリポジトリは、GitHubやGitLabなどのGitホスティングサービスにおいて、作成者本人や招待された特定のメンバーのみがコードやファイルを閲覧・編集できる非公開の保管場所(リポジトリ)です。
ソースコードを外部に漏らさず安全に管理したい場合や、チーム内での共同開発に利用されます。
アクセス権を持たない第三者には中身が見えない、いわゆる「カギ付きの部屋」として利用できるものとなっています。
商用開発、個人プロジェクト、学習中のコードなど、公開したくない開発全般で利用されます。
このプライベートリポジトリがプライベート状態なのに設定範囲外からアクセスできてしまうようになってしまう脆弱性が確認されました。
- CVE-2026-3854
これは、GitHub.com、GitHub Enterprise Cloud、GitHub Enterprise Serverに影響する脆弱性です。
この脆弱性が存在している状態の環境に対して攻撃を成功させるには、悪意を持って作成された単一の「git push」コマンドを実行するだけでよく、プッシュアクセス権を持つ攻撃者は、GitHub.com のプライベートリポジトリや脆弱な GitHub Enterprise サーバへの完全な読み書きアクセス権を取得できてしまうというものとなっています。
この脆弱性は、GitHubがgit push操作中にユーザーから提供されたオプションを処理する方法に起因しています。
ユーザから渡された値が十分なサニタイズ処理なしに内部サーバメタデータに組み込まれるため、攻撃者が下流サービスによって信頼される追加のフィールドを挿入することが可能になってしまいます。
これを悪用し、最終的にはサンドボックス保護を回避し、プッシュを処理するサーバ上で任意のコードを実行できる可能性があるというものとなります。
この脆弱性を解消したバージョンは、すでに提供されています。
そしてSaaSとして公開されているGitHub.comでは、速やかにこれが適用されています。
しかし、脆弱性の範囲はGitHub.comだけではありません。
GitHub Enterprise Serverは、多くの環境で設置して利用されています。
これらはそれぞれの管理者が個別に更新操作を行う必要があります。
対策が完了した状態になるまで、その環境で保持されているプライベートリポジトリは、プライベート状態ではないと考える必要があります。
この脆弱性は、攻撃事例の解析から確認されたものではなく、調査会社がAIを使って発見したものです。
調査会社が情報を整理して公開する時点までのところでは、悪用された事例は確認されていません。
しかし、だからといって安心でいるものではありません。
今回の調査を行った組織以外の場所でも同じようにAIを使って脆弱性を知ることはできていたかもしれないからです。
速やかに更新を完了させましょう。
システムの把握と適切なパッチケイデンスは重要です。
Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)
https://www.wiz.io/blog/github-rce-vulnerability-cve-2026-3854
| この記事をシェア |
|
|---|
