Ausnutzung von Dependabot: Umgehung des GitHub-Merge-Schutzes
2025-06-06
Forscher haben einen neuartigen Angriff entdeckt, der die "Confused Deputy"-Schwachstelle in GitHubs Dependabot (und ähnlichen Bots) ausnutzt. Angreifer können Dependabot dazu bringen, bösartigen Code zu mergen, indem sie Branch-Namen manipulieren und möglicherweise Branch-Schutzregeln umgehen, was zu Command Injection führt. Zwei bisher unbekannte Angriffstechniken wurden ebenfalls offengelegt, wodurch die Effektivität dieses Exploits erhöht wird. Dies unterstreicht die Notwendigkeit für Entwickler, automatisierte Tools sorgfältig zu verwalten und die Code-Sicherheitsaudits zu verbessern.
Entwicklung
Dependabot-Schwachstelle