Cuando los investigadores de Wiz informaron el 4 de marzo sobre una vulnerabilidad de ejecución remota de código en GitHub (CVE-2026-3854) fácilmente explotable, la compañía lo confirmó en 40 minutos y publicó una solución en GitHub.com en menos de dos horas.
Pero para demasiadas de las miles de organizaciones que ejecutan GitHub Enterprise Server en su propia infraestructura, la vulnerabilidad sigue representando un riesgo.
“Nuestros datos indican que el 88% de los casos siguen siendo vulnerables”, señaló Wiz el martes.
CVE-2026-3854
Los investigadores de Wiz descubrieron la vulnerabilidad CVE-2026-3854 en GitHub Enterprise Server, una versión autohospedada de GitHub destinada a organizaciones que necesitan ejecutar la plataforma en su propia infraestructura (por ejemplo, organizaciones en sectores regulados).
Descubrieron que, con un simple comando git push , esta vulnerabilidad puede ser explotada por usuarios autenticados para ejecutar comandos arbitrarios en los servidores backend de GitHub.
El análisis técnico de Wiz ofrece información más específica sobre cómo se puede aprovechar la vulnerabilidad, pero la idea principal para los usuarios es la siguiente: en GitHub.com, permitía la ejecución remota de código en nodos de almacenamiento compartido, y en GitHub Enterprise Server, otorga una vulneración total del servidor, lo que significa acceso a todos los repositorios alojados y secretos internos.
“Confirmamos que millones de repositorios públicos y privados pertenecientes a otros usuarios y organizaciones eran accesibles en los nodos afectados”, explicaron los investigadores.
Tras el informe de Wiz, GitHub buscó indicios de la ejecución de una ruta de código anómala que pudiera indicar que los atacantes habían explotado esta vulnerabilidad, pero no encontró ninguno.
“Cada incidente coincidió con la actividad de prueba de los investigadores de Wiz”, compartió Alexis Wales, CISO de GitHub , y afirmó que “no se accedió, modificó ni extrajo ningún dato de los clientes como resultado de esta vulnerabilidad”.
Los parches están listos
La vulnerabilidad CVE-2026-3854 se solucionó rápidamente en las ofertas en la nube de GitHub: GitHub Enterprise Cloud, GitHub Enterprise Cloud con Enterprise Managed Users, GitHub Enterprise Cloud con Data Residency y github.com.
La compañía también desarrolló correcciones para las versiones compatibles de GitHub Enterprise Server, desde la v3.14 hasta la 3.20.
“Recomendamos encarecidamente actualizar a la última versión del parche lo antes posible”, instó la empresa, y aconsejó a las organizaciones que utilizan la solución local que revisen el registro de auditoría ( /var/log/github-audit.log ) en busca de operaciones de envío que contengan ; en las opciones de envío, lo que indicaría una posible explotación.
