ตะลึง! ช่องโหว่ใหม่ GitHub แค่ "Git Push" ก็ทำเซิร์ฟเวอร์พังได้

ทีมนักวิจัยความปลอดภัยจากบริษัท Wiz (ภายใต้ Google) ได้เปิดเผยการค้นพบช่องโหว่รหัส CVE-2026-3854 ซึ่งมีความรุนแรงสูงมาก (คะแนน CVSS สูงถึง 8.7) โดยช่องโหว่นี้เปิดโอกาสให้ผู้ใช้งานที่มีสิทธิ์เข้าถึง Repository สามารถรันคำสั่งอันตราย (Remote Code Execution - RCE) บนเซิร์ฟเวอร์ของ GitHub ได้ทันทีเพียงแค่ใช้คำสั่ง git push เท่านั้น

สาเหตุเกิดจากอะไร?

ปัญหาหลักเกิดจาก "การกรอกข้อมูลที่ไม่สะอาดพอ" ครับ ในกระบวนการที่เรา Push ข้อมูลขึ้นไป จะมีส่วนที่เรียกว่า Push Options ซึ่ง GitHub นำข้อมูลส่วนนี้ไปใส่ใน Header ภายในของระบบ (X-Stat Header) แต่เจ้ากรรม ระบบดันใช้เครื่องหมายอัฒภาค (;) เป็นตัวคั่นข้อมูล ซึ่งเป็นตัวเดียวกับที่แฮกเกอร์สามารถใส่แทรกเข้ามาในข้อมูลที่ส่งไปได้

ผลก็คือ แฮกเกอร์สามารถ "ฉีด" (Inject) คำสั่งปลอมปนเข้าไปในระบบเพื่อหลอกให้เซิร์ฟเวอร์เข้าใจว่าเป็นคำสั่งสั่งการทำงาน จนสามารถทะลุผ่านระบบป้องกัน (Sandbox) และเข้าควบคุมเครื่องเซิร์ฟเวอร์ได้ในที่สุด

ผลกระทบที่น่ากลัว

ทาง Wiz ระบุว่าช่องโหว่นี้ "ปล้นง่ายจนน่าตกใจ" และหากแฮกเกอร์ทำสำเร็จบน GitHub.com ซึ่งเป็นระบบที่ใช้ทรัพยากรร่วมกัน (Multi-tenant) แฮกเกอร์จะสามารถ

• เข้าถึงไฟล์ในระบบ (อ่าน/เขียน) ได้เกือบทั้งหมด
• มองเห็นการตั้งค่าภายในของยริการต่างๆ
• ที่น่ากลัวที่สุด อาจเข้าถึงและอ่าน Repository ของคนอื่นได้เป็น "ล้วน" รายการที่อยู่ในโหมดเก็บข้อมูลเดียวกัน ไม่ว่าจะเป็นของบริษัทไหนหรือใครก็ตาม

แก้ไขหรือยัง?

ขา่าวดีคือหลังจาก Wiz แจ้งเรื่องไปเมื่อวันที่ 4 มีนาคม 2026 ทาง GitHub ก็ขยับตัวเร็วมาก แก้ไขระบบบน GitHub.com เสร็จภายในเวลาเพียง 2 ชั่วโมง และตอนนี้ได้ออกแพตซ์อัปเดตสำหรับ GitHub Enterprise Server (GHES) เรียบร้อยแล้วในเวอร์ชันต่อไปนี้

• 3.14.25ม 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 หรือ ใหม่กว่า

ใครที่ใช้งาน GitHub Enterprise Server อยู่อย่ารอช้าครับ รีบปอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดทันที เพื่อความปลอดภัยของข้อมูลในองค์กรท่านครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก