שיתוף | הפירצה החמורה ביותר בתולדות גיטהאב? או מהחמורות ביותר?!!!
-
חוקרי Wiz חשפו את CVE-2026-3854 — פרצת RCE חריגה במיוחד, שלפי הדיווחים אפשרה, באמצעות git push בודד, להגיע להרצת קוד על תשתיות GitHub ולסכן גישה למיליוני repositories, כולל פרטיים!
WIZ השתמשה בקלוד קוד ובIDA MCP שניהם ביחד זיהו את הפירצה במנגנונים הפנימיים של גיטהאב במהירות חסרת תקדים.
הפירצה השתמשה בפקודת git push פשוטה כדי להשתלט על גיטהאב.קום ומשם להשתלט על גיטהאב GitHub Enterprise.
המשמעות לכך היא אוטומטית יכולת להזריק קוד לכל תוכנה שנמצאת במאגרים של גיטהאב!
ולא! לא רק למאגרים ציבוריים. אלא גם מאגרים פרטיים של חברות ענק!
כדי לסבר את האוזן גיטהאב תיקנה את הפירצה הזו בתוך כמה 75 דקות!
זה כפשוטו להעלות קובץ לדרייב ולקבל קובץ שיל של גוגל
.
קצת יותר מידע: כל משתמש יכל לבצע את הפירצה הזו. היא עבדה כך שהתו - ; היה תחילת הגדרת אבטחה, אבל המשתמש יכל להכניס את זה בהערות של כל קוד שהוא יעלה! -
חוקרי Wiz חשפו את CVE-2026-3854 — פרצת RCE חריגה במיוחד, שלפי הדיווחים אפשרה, באמצעות git push בודד, להגיע להרצת קוד על תשתיות GitHub ולסכן גישה למיליוני repositories, כולל פרטיים!
WIZ השתמשה בקלוד קוד ובIDA MCP שניהם ביחד זיהו את הפירצה במנגנונים הפנימיים של גיטהאב במהירות חסרת תקדים.
הפירצה השתמשה בפקודת git push פשוטה כדי להשתלט על גיטהאב.קום ומשם להשתלט על גיטהאב GitHub Enterprise.
המשמעות לכך היא אוטומטית יכולת להזריק קוד לכל תוכנה שנמצאת במאגרים של גיטהאב!
ולא! לא רק למאגרים ציבוריים. אלא גם מאגרים פרטיים של חברות ענק!
כדי לסבר את האוזן גיטהאב תיקנה את הפירצה הזו בתוך כמה 75 דקות!
זה כפשוטו להעלות קובץ לדרייב ולקבל קובץ שיל של גוגל .
קצת יותר מידע: כל משתמש יכל לבצע את הפירצה הזו. היא עבדה כך שהתו - ; היה תחילת הגדרת אבטחה, אבל המשתמש יכל להכניס את זה בהערות של כל קוד שהוא יעלה!@המלאך
מתוך הכתבהכמובן שאת האירוניה שבין Wiz שכעת נמצאת בבעלות Google לבין GitHub שנמצאת בבעלות Microsoft והשימוש בכלים של Anthropic נשאיר לדיון אחר.
ואגב למי שלא הבין מהכותרת המלחיצה: זה היה פריצה הגנתית ולא אירעו נזקים
-
@המלאך
מתוך הכתבהכמובן שאת האירוניה שבין Wiz שכעת נמצאת בבעלות Google לבין GitHub שנמצאת בבעלות Microsoft והשימוש בכלים של Anthropic נשאיר לדיון אחר.
ואגב למי שלא הבין מהכותרת המלחיצה: זה היה פריצה הגנתית ולא אירעו נזקים
@חכם-בלילה-1 כתב בשיתוף | הפירצה החמורה ביותר בתולדות גיטהאב? או מהחמורות ביותר?!!!:
ואגב למי שלא הבין מהכותרת המלחיצה: זה היה פריצה הגנתית ולא אירעו נזקים
אין לדעת... אולי עוד הכירוו את זה ושמרו כ0day?
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}