GitHub Perbaiki Celah RCE yang Beri Akses ke Jutaan Repositori Pribadi
Pada awal Maret lalu, GitHub telah menambal kerentanan eksekusi kode jarak jauh (Remote Code Execution/RCE) tingkat kritis (CVE-2026-3854) yang berpotensi memungkinkan penyerang mengakses jutaan repositori pribadi.
Celah ini pertama kali dilaporkan pada 4 Maret 2026 oleh para peneliti di firma keamanan siber Wiz melalui program bug bounty GitHub. Chief Information Security Officer (CISO) GitHub, Alexis Wales, menyatakan bahwa tim keamanan perusahaan berhasil mereproduksi dan mengonfirmasi kerentanan tersebut hanya dalam waktu 40 menit, dan langsung menerapkan perbaikan ke GitHub.com dalam waktu kurang dari dua jam setelah menerima laporan.
Kerentanan CVE-2026-3854 ini berdampak pada berbagai ekosistem, termasuk GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud with Data Residency, GitHub Enterprise Cloud with Enterprise Managed Users, dan GitHub Enterprise Server.
Eksploitasi Melalui Perintah ‘git push’
Eksploitasi yang berhasil hanya memerlukan satu perintah git push yang dimanipulasi secara khusus. Celah ini dapat memberikan akses baca/tulis penuh ke repositori pribadi di GitHub.com atau server GitHub Enterprise yang rentan bagi penyerang yang memiliki akses push.
Akar kerentanannya terletak pada cara GitHub menangani opsi yang diberikan pengguna selama operasi git push. Nilai yang diteruskan oleh pengguna dimasukkan ke dalam metadata server internal tanpa sanitasi yang memadai. Hal ini memungkinkan penyerang untuk menyuntikkan bidang tambahan yang dipercaya oleh layanan hilir (downstream).
Seperti yang dijelaskan Wales pada hari Selasa, seorang penyerang dapat melewati perlindungan sandboxing dan mengeksekusi kode arbitrer di server yang menangani push tersebut dengan merangkai beberapa nilai yang disuntikkan secara bersamaan.
Ancaman Skala Global dan Imbauan Pembaruan
“Eksploitasi ini dapat mengekspos basis kode dari hampir semua perusahaan terbesar di dunia, menjadikannya salah satu kerentanan SaaS paling parah yang pernah ditemukan,” ungkap juru bicara Wiz kepada BleepingComputer.
Peneliti keamanan Wiz, Sagi Tzadik, menambahkan bahwa pada GitHub.com, kerentanan ini memungkinkan eksekusi kode jarak jauh pada node penyimpanan bersama. “Kami mengonfirmasi bahwa jutaan repositori publik dan pribadi milik pengguna dan organisasi lain dapat diakses pada node yang terdampak. Pada GitHub Enterprise Server, kerentanan yang sama memberikan kompromi server penuh, termasuk akses ke semua repositori yang di-hosting dan rahasia internal.”
Meskipun tingkat keparahannya sangat tinggi, penyelidikan forensik tidak menemukan bukti adanya eksploitasi oleh pihak jahat sebelum pengungkapan dari Wiz. Data telemetri GitHub mengonfirmasi bahwa setiap instans dari jalur kode anomali yang dipicu oleh kerentanan tersebut murni berasal dari pengujian para peneliti Wiz. Tidak ada data pelanggan yang diakses, dimodifikasi, atau dieksfiltrasi sebelum tambalan diterapkan.
Meskipun GitHub telah menambal masalah keamanan besar ini di GitHub.com dalam waktu 6 jam, Tzadik memperingatkan bahwa administrator GitHub Enterprise Server (GHES) harus segera melakukan pembaruan, karena sekitar 88% instans GHES yang dapat dijangkau di internet masih rentan.
“Untuk GitHub Enterprise Server, kami telah menyiapkan tambalan di semua rilis yang didukung (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0, atau yang lebih baru) dan memublikasikan CVE-2026-3854,” tegas Wales. “Tambalan ini tersedia hari ini dan kami sangat menyarankan semua pelanggan GHES untuk segera memutakhirkan sistem mereka.”
