CVE-2026-3854: один git push с semicolon в push option — RCE на GitHub.com и полная компрометация GHES. 40 минут на подтверждение, два часа на патч, 88% инстансов уязвимы.babeld берёт push option без санитизации, вставляет в X-Stat header как есть. Semicolon — делимитер протокола —...
GitHub Enterprise RCE CVE-2026-3854: от реверса закрытых бинарников до полной компрометации сервера
Источник: codeby.net