Kritik Keamanan GitHub CVE-2026-3854: Eksekusi Kode Jarak Jauh Lewat Git Push

Peneliti keamanan siber baru-baru ini mengungkapkan sebuah celah keamanan kritis yang memengaruhi GitHub.com dan GitHub Enterprise Server. Kerentanan ini memungkinkan pengguna yang sudah terautentikasi untuk melakukan remote code execution (RCE) hanya dengan satu perintah git push.

Detail Kerentanan CVE-2026-3854 di GitHub

Celah yang diberi kode CVE-2026-3854 dengan skor CVSS 8.7 ini adalah bentuk command injection yang dapat dimanfaatkan oleh penyerang yang memiliki akses untuk mendorong perubahan (push) ke repositori tertentu. Penyerang bisa mengeksekusi kode secara langsung pada instance GitHub yang rentan.

"Selama operasi git push, nilai opsi push yang diberikan pengguna tidak disanitasi dengan benar sebelum dimasukkan ke dalam header layanan internal," demikian peringatan resmi GitHub. "Karena format header internal menggunakan karakter pemisah yang juga bisa muncul dalam input pengguna, penyerang dapat menyisipkan metadata tambahan melalui nilai opsi push yang dibuat dengan sengaja."

Penemuan ini dilaporkan oleh perusahaan keamanan cloud milik Google, Wiz, pada 4 Maret 2026. GitHub langsung memvalidasi masalah tersebut dan menerapkan perbaikan di GitHub.com dalam waktu dua jam.

Versi GitHub Enterprise Server yang Telah Diperbaiki

Selain GitHub.com, perbaikan keamanan juga sudah diterapkan pada versi GitHub Enterprise Server berikut:

• 3.14.25
• 3.15.20
• 3.16.16
• 3.17.13
• 3.18.8
• 3.19.4
• 3.20.0 atau versi lebih baru

Hingga kini, tidak ada bukti bahwa celah ini pernah dieksploitasi secara berbahaya di dunia nyata.

Bagaimana Serangan Ini Bekerja?

Masalah utama berasal dari sanitasi yang tidak memadai terhadap nilai opsi git push yang dimasukkan pengguna sebelum disertakan dalam header internal X-Stat. Header tersebut menggunakan titik koma sebagai pemisah, yang juga dapat muncul dalam input pengguna, memungkinkan injeksi perintah berbahaya.

"Dengan menggabungkan beberapa nilai yang disisipkan, peneliti menunjukkan bahwa penyerang dapat mengubah lingkungan pemrosesan push, melewati proteksi sandbox yang biasanya membatasi eksekusi hook, dan akhirnya mengeksekusi perintah sewenang-wenang pada server," ujar Alexis Wales, Chief Information Security Officer GitHub.

Rantai eksekusi kode jarak jauh ini terdiri dari tiga tahap injeksi:

1. Menyisipkan nilai rails_env non-produksi untuk melewati sandbox.
2. Menyisipkan custom_hooks_dir untuk mengarahkan direktori hook.
3. Menyisipkan repo_pre_receive_hooks dengan entri hook yang dirancang khusus untuk melakukan traversal path dan menjalankan perintah sewenang-wenang sebagai pengguna git.

"Dengan eksekusi kode tanpa sandbox sebagai pengguna git, kami memiliki kontrol penuh atas instance GHES, termasuk akses baca/tulis sistem file dan visibilitas konfigurasi layanan internal," kata Sagi Tzadik, peneliti keamanan dari Wiz.

Dampak pada GitHub.com dan Multi-Tenant

Untuk GitHub.com, terdapat flag mode enterprise yang secara default bernilai "false" sehingga jalur hook khusus tidak aktif. Namun, flag ini juga dikirim melalui header X-Stat dan dapat disuntikkan dengan cara yang sama, memungkinkan eksekusi kode pada GitHub.com.

Lebih parah lagi, karena arsitektur multi-tenant GitHub yang menggunakan infrastruktur backend bersama, eksekusi kode ini membuka risiko eksposur lintas tenant. Artinya, penyerang dapat membaca jutaan repositori pada node penyimpanan bersama, tanpa memandang organisasi atau pengguna pemilik repositori.

Rekomendasi dan Langkah Selanjutnya

Mengingat tingkat keparahan CVE-2026-3854, pengguna GitHub dan GitHub Enterprise Server sangat disarankan untuk segera menerapkan pembaruan keamanan agar terlindungi secara optimal.

"Satu perintah git push cukup untuk mengeksploitasi celah dalam protokol internal GitHub dan menjalankan kode pada infrastruktur backend," jelas Wiz. "Ketika banyak layanan yang ditulis dalam bahasa berbeda melewatkan data melalui protokol internal bersama, asumsi yang dibuat tiap layanan mengenai data tersebut menjadi permukaan serangan yang sangat penting."

Wiz juga mengimbau agar tim pengembang yang membangun arsitektur multi-layanan melakukan audit ketat terhadap bagaimana input yang dikontrol pengguna mengalir melalui protokol internal, terutama jika konfigurasi penting keamanan bergantung pada format data bersama.

Untuk informasi lebih lengkap dan pembaruan seputar keamanan siber, kunjungi artikel asli di The Hacker News dan sumber resmi GitHub.

Analisis Redaksi

Menurut pandangan redaksi, terungkapnya celah CVE-2026-3854 ini menjadi peringatan keras bagi seluruh ekosistem pengembangan perangkat lunak yang sangat bergantung pada layanan GitHub. Kemudahan eksploitasi hanya dengan satu perintah git push menunjukkan bahwa protokol internal dan sanitasi input masih menjadi titik lemah signifikan, bahkan pada platform sebesar GitHub.

Lebih jauh, risiko akses lintas tenant membuka potensi kebocoran data yang sangat besar, yang belum banyak disorot oleh media umum. Hal ini menuntut perusahaan dan organisasi untuk tidak hanya bergantung pada keamanan platform, tetapi juga mengadopsi prinsip keamanan berlapis dan pemantauan aktif terhadap aktivitas anomali.

Kedepannya, perlu ada peningkatan transparansi dan kolaborasi antara penyedia layanan dan komunitas keamanan untuk memperkuat pertahanan internal, serta edukasi bagi pengguna agar lebih waspada terhadap potensi serangan melalui mekanisme push Git.

Dengan semakin kompleksnya ekosistem digital, celah seperti ini menggarisbawahi pentingnya audit keamanan menyeluruh dan penerapan prinsip keamanan sejak desain (security by design) pada semua layanan cloud dan perangkat lunak.