Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) catalogada como CVE-2026-3854 en la infraestructura interna de git de GitHub. Esta falla afecta el proxy babeld y permite que un usuario autenticado malintencionado comprometa servidores backend, acceda a millones de repositorios privados y, específicamente en GitHub Enterprise Server (GHES), tome control total del servidor sin necesidad de escalamiento de privilegios.
CVE y severidad
| CVE | Severidad | Componentes afectados | Estado explotación |
|---|---|---|---|
| CVE-2026-3854 | Crítica | babeld git proxy, gitrpcd, pre-receive hooks (rails_env, custom_hooks_dir, repo_pre_receive_hooks) | Reportada y corregida sin indicios de explotación previa |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| GitHub, Inc. | GitHub Enterprise Server | Versiones hasta 3.19.13.14.25, incluyendo 3.15.20, 3.16.16, 3.17.13, 3.18.8 y 3.19.4+ |
Solución
Actualizar GitHub Enterprise Server a la versión corregida indicada por GitHub para mitigar la vulnerabilidad (posterior a las versiones mencionadas).
Recomendaciones
Los administradores de GHES deben aplicar el parche inmediatamente, auditar registros de actividad para detectar cadenas inusuales en las opciones de push como posibles intentos de explotación previos, y seguir las recomendaciones de actualización de seguridad emitidas por GitHub.