CVE-2026-3854 olarak takip edilen kritik güvenlik açığı, dünyanın en büyük yazılım geliştirme platformlarından GitHub altyapısını hedef alabilecek ciddi bir risk oluşturdu. Bu açık, yalnızca tek bir git push komutuyla sunucu tarafında komut çalıştırılmasına (Remote Code Execution – RCE) olanak tanıyordu.

Açık neden ortaya çıktı?

Sorunun temelinde, kullanıcıdan gelen verilerin yeterince filtrelenmemesi (input sanitization eksikliği) yer alıyor. GitHub’ın iç sistemleri, “push option” adı verilen kullanıcı girdilerini kendi iç iletişim protokolünde kullanıyordu. Ancak bu veriler, sistemin ayırıcı karakteri olan ; (noktalı virgül) içerebildiği için, saldırganlar bu karakter üzerinden sisteme ek komutlar enjekte edebildi.

Basitçe ifade etmek gerekirse: sistem, kullanıcıdan gelen veriyi güvenilir kabul etti ve bu da saldırganların sistemin iç işleyişini manipüle etmesine yol açtı.

Nasıl istismar ediliyordu?

Araştırmacılar, bu açığı zincirleme bir şekilde kullanarak:

• Güvenlik kontrollerini devre dışı bırakabildi
• Sistemin çalışma ortamını değiştirebildi
• Son aşamada sunucu üzerinde keyfi komut çalıştırabildi

Üstelik bu saldırı, herhangi bir özel araç gerektirmeden, standart bir git istemcisi ile gerçekleştirilebiliyordu. Bu da açığın pratikte oldukça tehlikeli olmasına neden oldu.

Etkisi ne kadar büyük?

Açığın etkisi kullanılan ortama göre değişiyor:

• GitHub.com (bulut ortamı):
  Saldırganlar, paylaşımlı altyapı üzerinde çalışan sunuculara erişim sağlayabiliyordu. Bu durum, teorik olarak aynı sunucuda bulunan farklı kullanıcılara ait milyonlarca repoya erişim riskini doğurdu (cross-tenant exposure).
• GitHub Enterprise Server (kurum içi kurulum):
  Açık burada çok daha kritik. Saldırgan, sunucu üzerinde tam kontrol elde edebiliyor; dosyalara erişim, yapılandırma bilgileri ve gizli anahtarlar dahil her şeye ulaşabiliyordu.

Ancak GitHub tarafından yapılan incelemelere göre, açığın kötü niyetli şekilde kullanıldığına dair herhangi bir bulguya rastlanmadı. Sistem logları incelendiğinde, exploit davranışının yalnızca araştırmacılar tarafından test amaçlı tetiklendiği doğrulandı.

Nasıl kapatıldı?

GitHub, açığın bildirilmesinden sonra oldukça hızlı hareket etti:

• Açık, GitHub.com üzerinde saatler içinde kapatıldı
• Sorunun kaynağı olan veri işleme mekanizması güncellenerek kullanıcı girdileri düzgün şekilde filtrelendi
• Ek olarak, gereksiz ve riskli kod yolları sistemden kaldırıldı (defense-in-depth yaklaşımı)

GitHub Enterprise Server kullanıcıları için ise yeni sürümler yayınlandı ve sistemlerin güncellenmesi zorunlu hale geldi.

Neden önemli?

Bu olay, modern yazılım sistemlerinde sıkça karşılaşılan bir problemi tekrar gündeme getiriyor:
Farklı servislerin birbirine güvendiği karmaşık yapılarda, küçük bir veri doğrulama hatası bile kritik sonuçlara yol açabiliyor.

Daha fazla siber güvenlik haberi ve güncel gelişmeler için SiberHavadis’i takipte kalın!