利用Dependabot漏洞绕过GitHub代码合并保护
2025-06-06
研究人员发现了一种新型攻击方式,利用GitHub的Dependabot机器人(以及其他类似的GitHub机器人)的“Confused Deputy”漏洞,攻击者可以诱骗Dependabot合并恶意代码。攻击者可以通过巧妙地构造分支名称,甚至绕过分支保护规则,最终实现代码注入。研究人员还披露了两种此前未知的攻击技术,进一步提升了攻击效率。这提醒开发者需谨慎对待自动化工具,并加强代码安全审计。