Dependabotの悪用:GitHubのマージ保護の回避
2025-06-06
研究者らは、GitHubのDependabot(および同様のボット)における「Confused Deputy」の脆弱性を悪用した新しい攻撃手法を発見しました。攻撃者は、ブランチ名を巧妙に作成することでDependabotを騙し、悪意のあるコードをマージさせることができます。ブランチ保護ルールをバイパスし、コマンドインジェクションにつながる可能性があります。さらに、これまで知られていなかった2つの攻撃手法も明らかにされました。このことは、開発者が自動化ツールを慎重に管理し、コードのセキュリティ監査を強化する必要があることを示しています。