Explorando o Dependabot: Ignorando a Proteção de Mesclagem do GitHub
2025-06-06
Pesquisadores descobriram um novo ataque que explora a vulnerabilidade "Confused Deputy" no Dependabot do GitHub (e bots semelhantes). Atacadores podem enganar o Dependabot para mesclar código malicioso criando nomes de branches, possivelmente ignorando as regras de proteção de branches e levando à injeção de comandos. Duas técnicas de ataque previamente desconhecidas também foram divulgadas, aumentando a eficácia dessa exploração. Isso destaca a necessidade de os desenvolvedores gerenciarem cuidadosamente as ferramentas automatizadas e melhorarem as auditorias de segurança de código.