2026年4月28日，安全机构Wiz Research披露GitHub远程代码执行漏洞CVE-2026-3854。该漏洞源于X-Stat标头注入缺陷，经认证用户仅需标准git push命令即可触发。攻击者通过分号注入覆盖rails_env、custom_hooks_dir等关键字段，最终以git服务权限执行任意代码。漏洞影响GitHub.com及GitHub Enterprise Server（GHES），可导致服务器沦陷或私有仓库数据泄露。GitHub已于6小时内修复云端平台，并发布GHES 3.19.3补丁；但目前88%的GHES实例尚未升级。此次发现系首次利用AI逆向工具IDA MCP在闭源组件中定位高危漏洞。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。