Popular:
Virtualization DNS security formal verification reachability analysis compiler errors macro conflict web extension development framework Bitmap Graphics API inconsistencies All Tags

Dependabot 악용: GitHub 병합 보호 우회

2025-06-06
Dependabot 악용: GitHub 병합 보호 우회

연구원들은 GitHub의 Dependabot(및 유사한 봇)의 "Confused Deputy" 취약성을 악용한 새로운 공격 방법을 발견했습니다. 공격자는 가지 이름을 교묘하게 만들어 Dependabot을 속여 악의적인 코드를 병합할 수 있습니다. 브랜치 보호 규칙을 우회하여 명령어 삽입으로 이어질 수 있습니다. 또한 이전에는 알려지지 않았던 두 가지 공격 기법도 공개되었습니다. 이는 개발자가 자동화 도구를 신중하게 관리하고 코드 보안 감사를 강화해야 함을 보여줍니다.

(boostsecurity.io)
개발 Dependabot 취약성 명령어 삽입