GitHub corrigió la vulnerabilidad crítica CVE-2026-3854, identificada por investigadores de Wiz, que permitía ejecución remota de código en la infraestructura asociada al proceso git push. La compañía confirmó que el problema pudo haber dado acceso no autorizado a millones de repositorios privados antes de su mitigación.
GitHub informó la tarde de este martes la corrección de la vulnerabilidad crítica CVE-2026-3854, una falla de ejecución remota de código identificada en componentes internos vinculados al procesamiento de operaciones git push. El hallazgo fue reportado más temprano ese mismo día por investigadores de Wiz, quienes detallaron que el problema afectaba el pipeline utilizado para manejar cargas de código y podía permitir que un atacante ejecutara comandos arbitrarios dentro de la infraestructura de GitHub.
Según el informe técnico de Wiz, la vulnerabilidad estaba relacionada con la forma en que ciertos archivos eran procesados durante operaciones de subida de código. Los investigadores indicaron que el fallo permitía encadenar distintos comportamientos inseguros hasta alcanzar ejecución remota de código dentro de los sistemas afectados. Wiz señaló que “la vulnerabilidad permitía a un atacante ejecutar código arbitrario dentro de la infraestructura de GitHub”.
Posteriormente, desde GitHub confirmaron el problema en una publicación oficial enfocada en las medidas implementadas tras la detección del incidente. La empresa explicó que el error se encontraba en el pipeline de git push y que fue mitigado luego de recibir el reporte de seguridad. La compañía también indicó que no encontró evidencia de explotación maliciosa indicando que “no encontramos evidencia de explotación en el entorno fuera de la actividad de investigación de seguridad”.
Diversos medios especializados indicaron que la vulnerabilidad pudo haber expuesto millones de repositorios privados alojados en la plataforma. De acuerdo con los reportes, el fallo afectaba sistemas internos asociados al manejo de repositorios y automatizaciones utilizadas por GitHub. BleepingComputer señaló que la falla otorgaba potencial acceso a repositorios privados mediante la ejecución de código dentro de la infraestructura comprometida, mientras que CSO Online destacó el alcance operativo del problema debido a la posición central del pipeline afectado dentro del ecosistema de desarrollo de GitHub.
Los investigadores de Wiz señalaron que reportaron la vulnerabilidad a GitHub bajo un proceso coordinado de divulgación responsable. Tras la notificación, la compañía señaló el despliegue de correcciones y cambios adicionales de endurecimiento para reducir riesgos similares en el futuro al indicar en su blog que habían “implementado medidas de protección adicionales para asegurar el pipeline de git push”.
La vulnerabilidad CVE-2026-3854 fue clasificada como crítica por los investigadores y generó amplia atención debido al rol de GitHub como plataforma central para alojamiento y colaboración de código fuente. Los reportes publicados coinciden en que el incidente no involucró filtraciones confirmadas de datos públicos ni evidencia de ataques activos detectados antes de la corrección.