{"id":697,"date":"2026-04-28T19:35:04","date_gmt":"2026-04-28T19:35:04","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/los-investigadores-descubren-un-fallo-critico-en-github-cve-2026-3854-rce-que-se-puede-explotar-mediante-un-solo-git-push-cyberdefensa-mx\/"},"modified":"2026-04-28T19:35:04","modified_gmt":"2026-04-28T19:35:04","slug":"los-investigadores-descubren-un-fallo-critico-en-github-cve-2026-3854-rce-que-se-puede-explotar-mediante-un-solo-git-push-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/los-investigadores-descubren-un-fallo-critico-en-github-cve-2026-3854-rce-que-se-puede-explotar-mediante-un-solo-git-push-cyberdefensa-mx\/","title":{"rendered":"Los investigadores descubren un fallo cr\u00edtico en GitHub CVE-2026-3854 RCE que se puede explotar mediante un solo Git Push \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad de seguridad cr\u00edtica que afecta a GitHub.com y GitHub Enterprise Server y que podr\u00eda permitir a un usuario autenticado obtener la ejecuci\u00f3n remota de c\u00f3digo con un solo comando \u00abgit push\u00bb.<\/p>\n

El defecto, rastreado como CVE-2026-3854<\/strong> (Puntuaci\u00f3n CVSS: 8,7), es un caso de inyecci\u00f3n de comandos que podr\u00eda permitir a un atacante con acceso push a un repositorio lograr la ejecuci\u00f3n remota de c\u00f3digo en la instancia.<\/p>\n

\u00abDurante una operaci\u00f3n de git push, los valores de las opciones de inserci\u00f3n proporcionados por el usuario no se desinfectaron adecuadamente antes de incluirlos en los encabezados de servicio internos\u00bb, seg\u00fan un Aviso de GitHub<\/a> por la vulnerabilidad. \u00abDebido a que el formato del encabezado interno utiliza un car\u00e1cter delimitador que tambi\u00e9n podr\u00eda aparecer en la entrada del usuario, un atacante podr\u00eda inyectar campos de metadatos adicionales a trav\u00e9s de valores de opciones de inserci\u00f3n dise\u00f1ados\u00bb.<\/p>\n

A la empresa de seguridad en la nube Wiz, propiedad de Google, se le atribuye el m\u00e9rito de descubrir e informar el problema el 4 de marzo de 2026, y GitHub valid\u00f3 e implement\u00f3 una soluci\u00f3n en GitHub.com en dos horas.<\/p>\n

La vulnerabilidad tambi\u00e9n se solucion\u00f3 en las versiones 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 o posteriores de GitHub Enterprise Server. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto malicioso.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Seg\u00fan GitHub, el problema afecta a GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud con residencia de datos, GitHub Enterprise Cloud con usuarios administrados empresariales y GitHub Enterprise Server.<\/p>\n

En esencia, el problema surge del hecho de que los usuarios opciones de inserci\u00f3n de git<\/a> no se desinfectan adecuadamente antes de que los valores se incorporaran al encabezado interno X-Stat. Debido a que el formato de metadatos internos se basa en un punto y coma como car\u00e1cter delimitador que tambi\u00e9n podr\u00eda aparecer en la entrada del usuario, un mal actor podr\u00eda aprovechar este descuido para inyectar comandos arbitrarios y ejecutarlos.<\/p>\n

\"\"<\/a><\/div>\n

\u00abAl encadenar varios valores inyectados, los investigadores demostraron que un atacante podr\u00eda anular el entorno en el que se proces\u00f3 el env\u00edo, evitar las protecciones de espacio aislado que normalmente limitan la ejecuci\u00f3n del enlace y, en \u00faltima instancia, ejecutar comandos arbitrarios en el servidor\u00bb, dijo el director de seguridad de la informaci\u00f3n de GitHub, Alexis Wales. dicho<\/a>.<\/p>\n

Wiz, en un anuncio coordinado, se\u00f1al\u00f3 que el problema es \u00abnotablemente f\u00e1cil\u00bb de explotar y agreg\u00f3 que permite la ejecuci\u00f3n remota de c\u00f3digo en nodos de almacenamiento compartido. Alrededor del 88% de los casos son actualmente vulnerables al problema en el momento de su divulgaci\u00f3n p\u00fablica. La cadena de ejecuci\u00f3n remota de c\u00f3digo encadena tres inyecciones:<\/p>\n