{"id":14222,"date":"2026-05-01T15:30:37","date_gmt":"2026-05-01T15:30:37","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/05\/08\/cve-2026-3854-github-enterprise-rce-git-push-patch-pflicht\/"},"modified":"2026-05-20T20:28:19","modified_gmt":"2026-05-20T20:28:19","slug":"cve-2026-3854-github-enterprise-rce-git-push-patch-pflicht","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/05\/01\/cve-2026-3854-github-enterprise-rce-git-push-patch-pflicht\/","title":{"rendered":"Un push de Git es suficiente para RCE en servidores empresariales de GitHub"},"content":{"rendered":"<p><strong>El 28 de abril de 2026, Wiz Research y GitHub publicaron los detalles sobre CVE-2026-3854: Una vulnerabilidad de inyecci\u00f3n de comandos en GitHub Enterprise Server permite que cualquier usuario autenticado con acceso de push a un repositorio ejecute c\u00f3digo arbitrario en el servidor con un simple git push. El 88% de las instancias autohospedadas no estaban patched al momento de la divulgaci\u00f3n.<\/strong><\/p>\n<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min. de lectura<\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">CVSS 8.7 &#8211; Un solo git push es suficiente.<\/strong> Cualquier usuario con acceso de push a un repositorio, incluyendo aquellos creados por el usuario, puede ejecutar comandos arbitrarios en el servidor de GitHub Enterprise. No se requiere un kit de explotaci\u00f3n, solo un cliente git est\u00e1ndar.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Inyecci\u00f3n de comandos en el manejo de opciones de push.<\/strong> Los valores de las opciones de push no se limpiaron adecuadamente antes de la procesamiento. Un atacante puede utilizar un car\u00e1cter delimitador para inyectar metadatos adicionales en los encabezados internos del servicio.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">GitHub.com se patched en menos de una hora.<\/strong> Wiz Research descubri\u00f3 la vulnerabilidad el 4 de marzo de 2026, report\u00f3la a GitHub el mismo d\u00eda. El parche en GitHub.com se llev\u00f3 a cabo el 4 de marzo. Los parches de GHES: 10 de marzo. Disclosure p\u00fablica: 28 de abril de 2026.<\/li>\n<li style=\"color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">Parches disponibles para todas las versiones de GHES compatibles.<\/strong> 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4, 3.20.0 y versiones superiores. Los que ejecutan versiones anteriores no tienen soporte.<\/li>\n<\/ul>\n<\/div>\n<h2>El ataque explicado: \u00bfPor qu\u00e9 un git push es suficiente para RCE?<\/h2>\n<p style=\"line-height:1.8;\">Las operaciones de git push admiten las llamadas opciones de push, que son pares clave-valor personalizados que transmiten metadatos sobre el push. GitHub Enterprise Server procesaba estos valores en un protocolo interno sin escapar correctamente el car\u00e1cter delimitador. Como este car\u00e1cter puede aparecer en la entrada del usuario, valores de opciones de push dise\u00f1ados con cuidado pueden inyectar campos de encabezado adicionales en la comunicaci\u00f3n interna.<\/p>\n<p style=\"line-height:1.8;\">El resultado es la ejecuci\u00f3n de c\u00f3digo en el servidor, no en la capa de repositorio, sino en el servicio backend que procesa el push. Wiz Research describe el ataque como completamente reproducible con un cliente git est\u00e1ndar. No se requiere una herramienta especial, una vulnerabilidad preexistente, ni autorizaci\u00f3n adicional a menos que el usuario tenga acceso de push a un repositorio.<\/p>\n<p style=\"line-height:1.8;\">El escenario de ataque es de baja barrera: cualquier colaborador externo, cualquier empleado con acceso a repositorios, cualquier cuenta comprometida puede aprovechar esta vulnerabilidad. En entornos empresariales con implementaciones a gran escala de GitHub autohospedado, el rango es significativo.<\/p>\n<h2>Timeline de la divulgaci\u00f3n: \u00bfQu\u00e9 pas\u00f3 entre marzo y abril?<\/h2>\n<p style=\"line-height:1.8;\"><strong>4 de marzo de 2026:<\/strong> Wiz Research descubri\u00f3 y report\u00f3 la vulnerabilidad responsablemente a GitHub. GitHub implement\u00f3 el parche en menos de una hora en GitHub.com.<\/p>\n<p style=\"line-height:1.8;\"><strong>10 de marzo de 2026:<\/strong> Los parches para todas las versiones de GitHub Enterprise Server compatibles se publicaron: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4, 3.20.0. CVE-2026-3854 se asign\u00f3 un CVSS 8.7.<\/p>\n<p style=\"line-height:1.8;\"><strong>28 de abril de 2026:<\/strong> Disclosure p\u00fablica despu\u00e9s de la coordinada divulgaci\u00f3n completa. Seg\u00fan la investigaci\u00f3n de Help Net Security, el 88% de las instancias autohospedadas no estaban patched aproximadamente siete semanas despu\u00e9s de la disponibilidad de los parches.<\/p>\n<div style=\"background:#0a2a35;border-left:3px solid #69d8ed;padding:18px 22px;margin:28px 0;border-radius:0 6px 6px 0;\">\n<p style=\"margin:0;color:rgba(255,255,255,0.9);font-size:1.05em;line-height:1.6;\"><strong style=\"color:#69d8ed;\">88% no patched.<\/strong> Siete semanas despu\u00e9s del parche de GHES, casi todas las instancias autohospedadas segu\u00edan funcionando en la versi\u00f3n vulnerable. Esto no es un caso aislado &#8211; es el estado normal en la infraestructura de git empresarial.<\/p>\n<\/div>\n<h2>Lo que los equipos de seguridad en DACH deben hacer de inmediato<\/h2>\n<p style=\"line-height:1.8;\"><strong>1. GHES-versi\u00f3n inmediatamente revisar.<\/strong> Versiones m\u00ednimas actualmente pachadas: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4, 3.20.0. Cualquiera que est\u00e9 bajo estas versiones o est\u00e9 ejecutando versiones anteriores a 3.14 est\u00e1 sin soporte y debe actualizar.<\/p>\n<p style=\"line-height:1.8;\"><strong>2. Revisar los permisos de acceso al repositorio.<\/strong> \u00bfQui\u00e9n tiene acceso de push a qu\u00e9 repositorios? Colaboradores externos, cuentas de servicio obsoletas, accesos temporales? Cualquier cuenta de este tipo es un posible ruta de ataque, independientemente de si el repositorio es p\u00fablico o interno.<\/p>\n<p style=\"line-height:1.8;\"><strong>3. Revisar los registros de servidor por anomal\u00edas.<\/strong> GitHub proporciona registros para las operaciones de push. Valores de opci\u00f3n de push inusuales, pushes desde IPs desconocidos o en horarios inusuales deben escalarse para su revisi\u00f3n manual.<\/p>\n<p style=\"line-height:1.8;\"><strong>4. Revisar los controles de la capa de red.<\/strong> El puerto de administraci\u00f3n de GHES (8443) y los puntos finales de servicio internos no deben ser accesibles desde Internet p\u00fablico. Esto no reduce la ruta de ataque a cero, pero aumenta la barrera para los atacantes externos.<\/p>\n<h2>Preguntas frecuentes sobre CVE-2026-3854<\/h2>\n<h3>\u00bfAfecta CVE-2026-3854 a GitHub.com o solo a instancias autohospedadas?<\/h3>\n<p>Ambas se ven afectadas. GitHub.com implement\u00f3 una soluci\u00f3n dentro de las horas siguientes al responsable de divulgaci\u00f3n de Wiz Research el 4 de marzo de 2026. Los usuarios de GitHub.com est\u00e1n protegidos desde el 4 de marzo. El riesgo afecta \u00fanicamente a las organizaciones que ejecutan GitHub Enterprise Server y no han actualizado a las versiones corregidas.<\/p>\n<h3>\u00bfTodos los repositorios en un servidor GHES deben considerarse comprometidos?<\/h3>\n<p>Depende de si la vulnerabilidad ha sido explotada. Un parche cierra el vector de ataque, pero no corrige una compromisi\u00f3n ya existente. Las organizaciones con c\u00f3digo sensible (Infraestructura como C\u00f3digo, credenciales en repositorios, configuraciones de CI\/CD) deben revisar la historia de Git y los registros de servidor por actividades sospechosas desde marzo de 2026. En caso de duda: iniciar el proceso de respuesta a incidentes.<\/p>\n<h3>\u00bfPueden las acciones de GitHub o las canalizaciones de CI\/CD aprovechar la vulnerabilidad?<\/h3>\n<p>S\u00ed. Cualquier componente automatizado que ejecute operaciones de push de Git &#8211; flujos de trabajo de Actions, ejecutores de CI\/CD, scripts de despliegue &#8211; es un vector de ataque potencial si se ejecuta en una versi\u00f3n vulnerable de GHES. Especialmente relevantes: ejecutores externos con acceso a m\u00faltiples repositorios y credenciales que pueden estar comprometidas.<\/p>\n<h3>\u00bfCu\u00e1l es la diferencia entre la vulnerabilidad de la cadena de suministro en el CLI de Bitwarden de GitHub Actions y la CVE-2026-3854?<\/h3>\n<p>CVE-2026-3854 es una vulnerabilidad del lado del servidor &#8211; el ataque se dirige al propio GitHub Enterprise Server. La vulnerabilidad del CLI de Bitwarden de GitHub Actions es un ataque de cadena de suministro a trav\u00e9s de dependencias externas en las canalizaciones. Ambas son cr\u00edticas, pero con diferentes mecanismos de protecci\u00f3n: administraci\u00f3n de parches para CVE-2026-3854, pinning de dependencias y procesos de SBOM para los riesgos de cadena de suministro.<\/p>\n<div style=\"background:#f0f9fa;border-radius:8px;padding:20px 24px;margin:24px 0;border-top:3px solid #69d8ed;\">\n<h2 style=\"margin-top:0;margin-bottom:12px;font-size:1.05em;\">Sugerencias de lectura de la redacci\u00f3n<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/04\/29\/litellm-cve-2026-42208-cvss-9-3-warum-sql-injection-in-ki\/\">LiteLLM CVE-2026-42208: Inyecci\u00f3n de SQL en la infraestructura de proxy de IA<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/04\/29\/beprime-breach-april-2026-case-study-wie-fehlende-mfa-in\/\">BePrime-Breach: Caso de estudio sobre la falta de MFA y la exposici\u00f3n de 12,6 GB de datos y 2,600 dispositivos<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/04\/28\/bitwarden-cli-checkmarx-github-action-supply-chain-devsecops\/\">Bitwarden CLI: Ataque de cadena de suministro a trav\u00e9s de GitHub Actions<\/a><\/li>\n<\/ul>\n<\/div>\n<div style=\"background:#f0f9fa;border-radius:8px;padding:20px 24px;margin:24px 0;border-top:3px solid #69d8ed;\">\n<h2 style=\"margin-top:0;margin-bottom:12px;font-size:1.05em;\">M\u00e1s del MBF Media Network<\/h2>\n<ul>\n<li>\u2192 <a href=\"https:\/\/www.digital-chiefs.de\/gartner-1-3-billionen-halbleiterumsatz-2026-cio-ki-chip-it-budget\/\"><strong>Gartner 1,3 Bio. Halbleiterumsatz 2026: Lo que los CIOs deben saber sobre la disponibilidad de chips de IA<\/strong><\/a> (Digital Chiefs)<\/li>\n<li>\u2192 <a href=\"https:\/\/www.cloudmagazin.com\/2026\/05\/01\/openai-modelle-auf-amazon-bedrock-was-der-aws-launch-vom-28-april-fuer-dach-cloud-teams-bedeutet\/\"><strong>OpenAI en Amazon Bedrock: Lo que el lanzamiento de AWS del 28 de abril significa para los equipos de nube en DACH<\/strong><\/a> (cloudmagazin)<\/li>\n<\/ul>\n<\/div>\n<p style=\"text-align:right;\"><em>Fuente de la imagen del t\u00edtulo: Pexels \/ Markus Spiske (px:1089438)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"CVE-2026-3854 (CVSS 8.7): Ejecte remota en GitHub Enterprise mediante git push. El 88% de las instancias autoalojadas no est\u00e1n parcheadas.","protected":false},"author":55,"featured_media":13790,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"CVE-2026-3854 RCE de GitHub Enterprise Server","_yoast_wpseo_title":"Un push de Git es suficiente para RCE en servidores empresariales de GitHub","_yoast_wpseo_metadesc":"CVE-2026-3854 (CVSS 8.7): RCE en GitHub Enterprise Server v\u00eda push de git. 88% de instancias sin parche.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/cve-2026-3854-github-enterprise-rce-git-push-patch-pflicht-april-2026-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/cve-2026-3854-github-enterprise-rce-git-push-patch-pflicht-april-2026-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-14222","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles"],"wpml_language":"es","wpml_translation_of":13780,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=14222"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14222\/revisions"}],"predecessor-version":[{"id":15096,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14222\/revisions\/15096"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/13790"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=14222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=14222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=14222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}