Интересно Уязвимости Cordyceps в CI/CD угрожают более чем 300 репозиториям GitHub.

[Admin]

​

Исследователи кибербезопасности обнаружили новый класс уязвимостей в CI/CD-процессах, позволяющий злоумышленникам захватывать контроль над рабочими процессами и компрометировать цепочки поставок открытого ПО. Проблема, названная Cordyceps, затрагивает репозитории крупных компаний, включая Microsoft, Google и Apache. Уязвимость позволяет неавторизованным пользователям выполнять произвольный код, красть учетные данные и манипулировать рабочими процессами. Основная причина — слабые настройки CI/CD, предоставляющие избыточные права запросам на слияние кода. Компании уже начали внедрять исправления.