CVE-2026-3854

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

10/03/2026

Última modificación:

11/03/2026

Descripción

Una vulnerabilidad de neutralización inadecuada de elementos especiales fue identificada en GitHub Enterprise Server que permitía a un atacante con acceso de push a un repositorio lograr ejecución remota de código en la instancia. Durante una operación de git push, los valores de opción de push proporcionados por el usuario no se sanitizaban correctamente antes de ser incluidos en los encabezados de servicio internos. Debido a que el formato del encabezado interno utilizaba un carácter delimitador que también podía aparecer en la entrada del usuario, un atacante podía inyectar campos de metadatos adicionales a través de valores de opción de push manipulados. Esta vulnerabilidad fue reportada a través del programa GitHub Bug Bounty y ha sido corregida en las versiones de GitHub Enterprise Server 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 y 3.19.3.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

CVE-2026-3854

Descripción

Impacto

Referencias a soluciones, herramientas e información