AWS CodeBuild, un service d'intégration continue, présente une vulnérabilité de sécurité qui permet la modification de code non approuvée. Des chercheurs en sécurité ont découvert qu'une demande de pull request malveillante pouvait entraîner l'extraction de jetons d'accès au référentiel via un dump de mémoire dans l'environnement CodeBuild. Si ces jetons ont des autorisations d'écriture, un attaquant pourrait injecter du code nuisible dans le référentiel. Ce problème affecte toutes les régions AWS où CodeBuild est utilisé. La vulnérabilité a été confirmée avoir été exploitée pour extraire des jetons d'accès pour les référentiels AWS Toolkit pour Visual Studio Code et AWS SDK pour .NET, avec l'attribution de CVE-2025-8217. CodeBuild nécessite des informations d'identification de référentiel pour diverses opérations telles que l'accès au contenu et la création de webhooks. L'obtention de ces informations d'identification pourrait accorder des autorisations élevées aux attaquants. Les clients sont invités à examiner les journaux Git pour détecter des activités suspectes liées aux informations d'identification CodeBuild. AWS a mis en place des protections supplémentaires contre les dumps de mémoire dans les builds de conteneurs en mode non privilégié. Cependant, en raison de la nature des environnements de build qui exécutent du code provenant de contributeurs, AWS recommande fortement contre l'utilisation de builds de demande de pull request automatiques provenant de contributeurs non fiables. Pour les référentiels publics qui doivent prendre en charge des builds automatisés provenant de sources non fiables, l'utilisation de runners GitHub Actions auto-hébergés dans CodeBuild est recommandée, car cette fonctionnalité n'est pas affectée par la vulnérabilité.