Один символ положил GitHub на колени Исследователи Wiz обнаружили, что добавление точки с запятой в push-опции git-команды давало полноценный shell на сервере GitHub. Не вредоносный репозиторий, не сложная цепочка уязвимостей — один лишний символ в строке параметров, и атакующий внутри. CVE-2026-3854, CVSS 8.7. Затронуты github.com, Enterprise Cloud и Enterprise Server. То есть почти все, кто пользуется GitHub серьёзно. Но вот где история становится красивой: репорт пришёл 4 марта, GitHub воспроизвёл за 40 минут. Фикс выкатили ещё через 35. Меньше двух часов от репорта до исправления. Следов эксплуатации в дикой природе не нашли. GHES получил патчи только 28 апреля. Версии 3.14.25 и выше. Если у вас self-hosted, самое время проверить. @tproger Читайте также в VK, Max и Дзен
📢 Источник: @tproger