كشفت شركة Wiz عن ثغرة أمنية حرجة في البنية التحتية الداخلية لمنصة GitHub، تحمل المعرف (CVE-2026-3854 بتقييم CVSS عند 8.7). تكمن خطورة هذه الثغرة في منحها أي مستخدم يمتلك صلاحية إرسال التحديثات (push) إلى مستودع برمجي القدرة على تنفيذ أوامر برمجية عن بُعد على الخوادم الخلفية للمنصة، وذلك من خلال عملية إرسال واحدة فقط.
ويعود أصل هذا الخلل إلى غياب عملية التنقية اللازمة للقيم المدخلة في خيارات الإرسال، وذلك قبل دمجها في رؤوس البيانات الداخلية المخصصة لعمليات نظام Git.
آليات الحقن وتجاوز أنظمة العزل
أظهر التحليل الفني الصادر في 28 أبريل 2026 أن عملية الاستغلال تبدأ بتمرير قيم يتحكم بها المهاجم ضمن خيارات الإرسال، مع استخدام فواصل برمجية معينة، كالفاصلة المنقوطة (؛)، لحقن حقول إضافية في ترويسة داخلية تُعرف بـ “X-Stat”. وتسمح هذه الآلية بتجاوز القيم الأصلية للنظام واستبدالها بقيم يفرضها المهاجم، وذلك بالاعتماد على قاعدة معالجة داخلية تمنح الأولوية لآخر قيمة يتم تمريرها.
وقد اعتمدت سلسلة الاستغلال على التلاعب بثلاثة حقول داخلية حيوية، وهي “rails_env” و”custom_hooks_dir” و”repo_pre_receive_hooks”. وأدى هذا التلاعب إلى تعطيل مسار العزل الأمني داخل النظام، وإعادة توجيه عملية البحث عن الخطافات البرمجية التي تُنفذ تلقائياً عند وقوع أحداث معينة في Git، وهو ما انتهى بتشغيل ملف تنفيذي بصلاحيات مستخدم الخدمة.
اتساع نطاق التأثير في البيئات السحابية
أثبتت التجارب نجاح استغلال الثغرة في البداية على نسخة الخوادم المخصصة للمؤسسات (GitHub Enterprise Server)، ثم تأكدت قابليتها للتطبيق على المنصة العامة (GitHub.com) عند تفعيل مسارات داخلية معينة. ولم يتوقف التأثير عند حدود تنفيذ الأوامر على خادم واحد، بل امتد للوصول إلى عقد تخزين مشتركة تخدم مستودعات برمجية متعددة لجهات مختلفة.
وقد رصدت التحقيقات وجود ملايين الإدخالات البرمجية لمستودعات عامة وخاصة على هذه العقد، ما استدعى تدخل إدارة GitHub التي عالجت الخلل خلال 6 ساعات من تلقي البلاغ.
شملت التحديثات الأمنية لإصدارات GitHub Enterprise Server النسخ 3.14.24 و3.15.19 و3.16.15 و3.17.12 و3.18.6 و3.19.3، بالإضافة إلى التحديثات التراكمية اللاحقة.
وقد استند هذا الكشف العلمي إلى استخدام أدوات متطورة مدعومة بالذكاء الاصطناعي لتحليل البرمجيات مغلقة المصدر، وإعادة بناء البروتوكولات الداخلية المعقدة التابعة لشركة GitHub. ويمثل هذا الأسلوب تحولاً في طرق اكتشاف الثغرات الأمنية؛ عبر دمج الأتمتة مع تقنيات الهندسة العكسية والتحقق الميداني في بيئات التشغيل الحقيقية.
