国家电投中央研究院发布声明

远程执行漏洞被 GitHub 紧急修复：1 条 git push 命令，可访问数百万代码库_蜘蛛资讯网

踪编号为 CVE-2026-3854，任何经过身份验证的用户只需执行标准的 git push 命令，就能在 GitHub 后端服务器上执行任意代码。GitHub 远程代码执行漏洞 CVE-2026-3854该漏洞源于 GitHub 内部 X-Stat 标头的注入缺陷。X-Stat 是一个用分号分隔的协议，负责在内部服务间传递安全元数据。当用户运行带有选项的 git push 命令后，GitHub

告，目前仍有 88% 的 GHES 实例未升级，管理员必须立即更新至 3.19.3 或更高版本。此次漏洞挖掘过程使用了 AI 辅助逆向工程工具 IDA MCP，这是安全界首次利用 AI 工具在闭源安装文件中发现如此严重的底层漏洞，证明 AI 技术正在重塑复杂的安全研究工作流。附上参考地址广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅

当前文章：http://fcm.pieqimu.cn/q34qn/q04.html

发布时间：05:05:14