AWS CodeBuild、継続的インテグレーションサービスには、承認されていないコードの変更を許可するセキュリティーの脆弱性があります。セキュリティーリサーチャーは、マルウェアのPull RequestがCodeBuild環境内のメモリダンプを通じてリポジトリアクセストークンの抽出につながることを発見しました。如果これらのトークンが書き込み権限を持つ場合、攻撃者はリポジトリに有害なコードを注入することができます。この問題は、CodeBuildを使用しているすべてのAWSリージョンに影響します。この脆弱性は、AWS Toolkit for Visual Studio CodeとAWS SDK for .NETリポジトリのアクセストークンの抽出に使用されたことが確認され、CVE-2025-8217が割り当てられました。CodeBuildは、コンテンツにアクセスしウェブフックを作成するなどの操作にリポジトリの資格情報を必要とします。これらの資格情報を取得することで、攻撃者は昇格された権限を取得することができます。顧客は、CodeBuildの資格情報に関する疑わしい活動についてGitログをレビューすることを推奨されます。AWSは、コンテナービルドでのメモリダンプに対する追加の保護を実装しました。ただし、ビルド環境が寄稿者のコードを実行するという性質上、AWSは信頼されていない寄稿者からの自動Pull Requestビルドを強く非推奨しています。パブリックリポジトリが信頼されていないソースからの自動ビルドをサポートする必要がある場合は、CodeBuildでのセルフホストGitHub Actionsランナーを使用することを推奨します。この機能は、この脆弱性の影響を受けません。