AWS CodeBuild, un servicio de integración continua, tiene una vulnerabilidad de seguridad que permite la modificación de código no aprobado. Los investigadores de seguridad encontraron que una solicitud de extracción (Pull Request) malintencionada podría llevar a la extracción de tokens de acceso al repositorio a través de un volcado de memoria dentro del entorno de CodeBuild. Si estos tokens tienen permisos de escritura, un atacante podría inyectar código dañino en el repositorio. Este problema afecta a todas las regiones de AWS donde se utiliza CodeBuild. La vulnerabilidad se confirmó que había sido explotada para extraer tokens de acceso para los repositorios de AWS Toolkit for Visual Studio Code y AWS SDK para .NET, con la asignación de CVE-2025-8217. CodeBuild requiere credenciales de repositorio para varias operaciones, como acceder a contenido y crear webhooks. Obtener estas credenciales podría otorgar a los atacantes permisos elevados. Se aconseja a los clientes que revisen los registros de git en busca de actividad sospechosa relacionada con credenciales de CodeBuild. AWS ha implementado protecciones adicionales contra volcados de memoria en compilaciones de contenedores utilizando modo no privilegiado. Sin embargo, debido a la naturaleza de los entornos de compilación que ejecutan código de contribuyentes, AWS recomienda encarecidamente no utilizar compilaciones de solicitudes de extracción automáticas de contribuyentes no confiables. Para los repositorios públicos que necesitan admitir compilaciones automatizadas de fuentes no confiables, se recomienda utilizar ejecutores de GitHub Actions autohospedados en CodeBuild, ya que esta característica no se ve afectada por la vulnerabilidad.