핵심 요약
GitHub가 4월 28일 CVE-2026-3854를 공개했다. 명령어 주입(Command Injection) 취약점으로 push 권한이 있는 사용자가 단 한 번의 git push로 GitHub Enterprise Server 호스트에서 임의 명령을 실행할 수 있다.
- CVE: CVE-2026-3854
- CVSS: 8.7 (HIGH)
- 유형: Command Injection (CWE-78)
- 영향 제품: GHES 3.13.x ~ 3.18.x
- 패치: 3.13.18 / 3.14.15 / 3.15.10 / 3.16.6 / 3.17.4 / 3.18.1
공격 시나리오
특수하게 조작된 브랜치명·태그명을 포함한 push가 GHES의 hook 처리 단계에서 셸로 흘러 들어간다. push 권한만 있으면 RCE까지 한 단계.
- 오픈 OSS 기여자 권한이라도 위험 (write가 아닌 fork PR push에서도 일부 경로 영향)
- self-hosted runner와 결합되면 권한 상승까지 연결 가능
- github.com 클라우드 본진은 영향 없음 (자체 호스팅만 영향)
국내 영향
국내 대기업·은행 다수가 GHES를 자체 운영하고 있다. 삼성전자·LG전자·금융권 SI 환경 등이 직접 노출된다. 보안업계는 "패치 이전에 hook trigger를 일시 비활성화하는 임시 조치"를 권고한다.
임시 조치
# 1) 모든 GHES 노드를 즉시 패치 라인으로 업그레이드
ghe-upgrade /var/local/upgrade/github-enterprise-3.18.1.pkg
# 2) 패치 불가 시 — pre-receive hook 비활성
ghe-config app.github.pre-receive-hooks-enabled false
ghe-config-apply
# 3) 의심 push 모니터링
sudo tail -f /var/log/github/audit.log | grep -i "push.*\$\("발견자
독립 보안 연구자 Daniel Kuehn이 GitHub Bug Bounty를 통해 보고했고, 보상금 $5만이 책정됐다. PoC는 패치 후 30일 뒤 공개 예정.
관련 사건
2024년 GitLab CVE-2024-29291과 패턴이 매우 유사하다. 같은 클래스의 input validation 결함이 git server 진영에서 반복적으로 발견되는 양상이다.
댓글 0