นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ร้ายแรงบน GitHub.com และ GitHub Enterprise Server ที่ทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดจากระยะไกล (RCE) ได้ด้วยคำสั่ง git push เพียงครั้งเดียว ช่องโหว่ CVE-2026-3854 (CVSS 8.7) เกิดจากค่าของ push option ที่ผู้ใช้ระบุไม่ถูก sanitize ก่อนนำไปใช้ใน internal service headers ส่งผลให้ผู้โจมตีสามารถฉีดคำสั่งผ่านค่าที่ถูกสร้างขึ้นมา

ทีมวิจัยจาก Wiz ซึ่งเป็นบริษัทรักษาความปลอดภัยคลาวด์ในเครือ Google รายงานปัญหาดังกล่าวเมื่อวันที่ 4 มีนาคม 2026 และ GitHub ได้ดำเนินการแก้ไขบน GitHub.com ภายในสองชั่วโมง นอกจากนี้ยังมีการอัปเดต GitHub Enterprise Server เวอร์ชัน 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 หรือใหม่กว่า โดยยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้ในทางร้าย

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• RCE (Remote Code Execution) – การเรียกใช้โค้ดจากระยะไกล
• Command Injection – การฉีดคำสั่งผ่านช่องโหว่
• CVSS (Common Vulnerability Scoring System) – ระบบคะแนนความรุนแรงของช่องโหว่
• Sandbox – ระบบแยกสภาพแวดล้อมเพื่อความปลอดภัย
• Path Traversal – การเข้าถึงไฟล์นอกขอบเขตที่กำหนด