VMTech
+381 11 4150 20024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

Claude Code: jedan issue mogao je preuzeti repozitorijume

Claude Code: одно issue могло захватить репозитории

Kolege, skrećem pažnju: u oblasti sajber bezbednosti otkrivena je ranjivost u GitHub Action Claude Code — jedan issue je mogao da omogući kontrolu nad javnim repozitorijumima.

- RyotaK: action je verovao akterima čija imena se završavaju na [bot]; primer workflow-a dozvoljavao non-write korisnike.
- Kroz prompt injection napadači su čitali /proc/self/environ i krali OIDC kredencijale, dobijajući instalacioni token sa pravima za upis.
- Anthropic je ispravila bag za četiri dana; fiks — claude-code-action v1.0.94 (CVSS 7.8).

Važno: moguće podmetanje action-a i kompromitacija downstream projekata.

Preporučujem ažuriranje na v1.0.94+, proveru allowed_non_write_users i prava okidača, i uklanjanje javnog izlaza.

Da li Vi imate takve workflow-e u projektima?
#sajberbezbednost #lanacSnabdevanja #GitHubAkcije #AIbezbednost

Poslednji komentari

Još nema komentara.