AWS CodeBuild, ein Continuous-Integration-Dienst, weist eine Sicherheitslücke auf, die eine unbefugte Codeänderung ermöglicht. Sicherheitsforscher haben festgestellt, dass eine bösartige Pull Request zur Extraktion von Repository-Zugriffstoken durch einen Memory-Dump in der CodeBuild-Umgebung führen könnte. Wenn diese Token Schreibberechtigungen haben, könnte ein Angreifer schädlichen Code in das Repository einschleusen. Dieses Problem betrifft alle AWS-Regionen, in denen CodeBuild verwendet wird. Die Schwachstelle wurde nachweislich ausgenutzt, um Zugriffstoken für die Repositories AWS Toolkit for Visual Studio Code und AWS SDK for .NET zu extrahieren, wobei die CVE-2025-8217 zugewiesen wurde. CodeBuild benötigt Repository-Anmeldeinformationen für verschiedene Vorgänge wie den Zugriff auf Inhalte und die Erstellung von Webhooks. Der Erhalt dieser Anmeldeinformationen könnte Angreifern erhöhte Berechtigungen gewähren. Kunden wird geraten, Git-Logs auf verdächtige Aktivitäten im Zusammenhang mit CodeBuild-Anmeldeinformationen zu überprüfen. AWS hat zusätzliche Schutzmaßnahmen gegen Memory-Dumps in Container-Builds implementiert, die den privilegierten Modus verwenden. Aufgrund der Natur von Build-Umgebungen, die Code von Beitragenden ausführen, rät AWS jedoch dringend davon ab, automatische Pull Request-Builds von nicht vertrauenswürdigen Beitragenden zu verwenden. Für öffentliche Repositories, die automatisierte Builds von nicht vertrauenswürdigen Quellen unterstützen müssen, wird die Verwendung von selbstgehosteten GitHub Actions-Runnern in CodeBuild empfohlen, da diese Funktion nicht von der Schwachstelle betroffen ist.