Cordyceps CI/CD Weakness Exposes Software Supply Chains to Malicious Pull Requests

Security researchers at Novee have disclosed a new CI/CD vulnerability class called 'Cordyceps' that allows attackers to exploit malicious pull requests against insecurely configured automated workflows. A scan of public repositories found 654 potentially vulnerable projects, with ~300 confirmed fully exploitable. Affected projects include Microsoft Azure Sentinel, Google's AI Agent Development Kit, Apache Doris, Cloudflare Workers SDK, and the Python Black formatter. The weakness stems not from pull requests themselves but from workflow configurations that grant excessive privileges to untrusted inputs, enabling credential theft, command injection, and malicious package publishing. Notably, AI-generated CI/CD configs may amplify the problem by replicating insecure patterns at scale. Recommended mitigations include auditing workflows for excessive permissions, applying least-privilege principles, and treating workflow YAML with the same rigor as application code.

Nguồn: https://securityboulevard.com/2026/06/cordyceps-ci-cd-weakness-exposes-software-supply-chains-to-malicious-pull-requests. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

freeCodeCamp111 phút2 giờ trướcAI

How I Became Brazil's First Visually Impaired Cybersecurity Graduate — and Changed Vulnerability Research

Juan Mathews Rebello Santos trở thành người đầu tiên ở Brazil tốt nghiệp ngành an ninh mạng khi bị khiếm thị, đồng thời là nhà nghiên cứu mù đầu tiên công bố CVE (CVE-2025-26326) trên NVD của Mỹ. Anh phát hiện lỗ hổng trên các sản phẩm của Google, Microsoft, Nubank và Smiles chỉ bằng công cụ screen reader, đồng thời sáng lập BNVD.org, viết sách an ninh mạng bằng tiếng Bồ Đào Nha dành cho người khiếm thị và sở hữu hơn 50 chứng chỉ. Bài viết cũng nhấn mạnh những rào cản tiếp cận trong ngành công nghệ đối với người khiếm thị, từ hệ thống đại học không thân thiện đến hàng trăm đơn xin việc không hồi âm, và kêu gọi thiết kế bao dung là yếu tố bắt buộc, không phải sự ưu ái.