Exploitation de Dependabot : contournement de la protection de fusion de GitHub
2025-06-06
Des chercheurs ont découvert une nouvelle attaque exploitant la vulnérabilité "Confused Deputy" de Dependabot sur GitHub (et des bots similaires). Les attaquants peuvent tromper Dependabot pour qu'il fusionne du code malveillant en créant des noms de branches, contournant potentiellement les règles de protection des branches et menant à une injection de commande. Deux techniques d'attaque inconnues auparavant ont également été révélées, augmentant l'efficacité de cette exploitation. Cela souligne la nécessité pour les développeurs de gérer soigneusement les outils automatisés et d'améliorer les audits de sécurité du code.