29 Apr, 2026
Alerte critique pour GitHub Enterprise Server
Failles de sécurité ,

Wiz Research a divulgué hier une vulnérabilité critique dans GitHub Enterprise Server (GHES) (pas GitHub.com). Si vous l’utilisez en self-hosted, lisez ceci maintenant.

Une vulnérabilité critique touchant GitHub Enterprise Server (GHES), la CVE-2026-3854, CVSS 8.7 a été divulguée publiquement le 28 avril 2026 par Wiz Research (voir ici).

Ce qui a été découvert :

La faille découverte permet à tout utilisateur authentifié d’exécuter du code arbitraire sur votre serveur GitHub avec un simple git push, sans outil spécialisé, sans condition particulière.

Techniquement, elle exploite une injection dans le header interne X-Stat du pipeline git de GitHub : les push options sont insérées sans assainissement des points-virgules, ce qui permet d’écraser des paramètres de sécurité critiques via une logique last-write-wins. L’escalade vers le RCE est ensuite obtenue en chaînant trois injections de champs (rails_env, custom_hooks_dir, repo_pre_receive_hooks).

Pourquoi c’est particulièrement sérieux :

Compromission totale du serveur : tous les dépôts, tous les secrets internes sont accessibles ;

Rebond direct vers l’infrastructure connectée (CI/CD, cloud, bases de données) ;

La faille est architecturale : elle naît d’hypothèses de confiance implicites entre services, difficiles à détecter par audit classique ;

88 % des instances GHES mondiales sont encore vulnérables au moment de la publication.

Action immédiate requise :

Si vous utilisez GHES (pas Github.com !), faites une mise à jour vers GHES version 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 ou 3.19.3. Faites une rotation de tous les secrets CI/CD. Auditez les logs de push depuis le 4 mars 2026.
GitHub.com est patché depuis le 4 mars 2026. Aucune action requise pour les utilisateurs cloud (Github.com).

A noter :

La recherche a été rendue possible par du reverse engineering augmenté par IA (IDA MCP), ce qui souligne une évolution importante : les outils d’IA commencent à rendre accessible l’audit de binaires compilés à grande échelle. Ce ne sera pas la dernière faille de ce type découverte de cette façon.

Pour aller plus loin :

Vous pouvez aussi prendre rendez-vous avec nos experts pour une consultation de sécurité sans engagement.

Plus d’infos ? Des questions ? Contactez-nous !

Partagez cette page via :