AWS CodeBuild, 지속적 통합 서비스에 승인되지 않은 코드 수정을 허용하는 보안 취약점이 존재합니다. 보안 연구원들은 악의적인 Pull Request가 CodeBuild 환경 내 메모리 덤프를 통해 리포지토리 액세스 토큰을 추출할 수 있다는 사실을 발견했습니다. 이러한 토큰에 쓰기 권한이 있다면 공격자는 리포지토리에 악성 코드를 삽입할 수 있습니다. 이 문제는 CodeBuild가 사용되는 모든 AWS 리전에서 발생합니다. 이 취약점은 Visual Studio Code용 AWS Toolkit 및 .NET용 AWS SDK 리포지토리에 대한 액세스 토큰을 추출하는 데 악용된 것으로 확인되었으며, CVE-2025-8217이 할당되었습니다. CodeBuild는 콘텐츠 액세스 및 웹훅 생성과 같은 다양한 작업을 위해 리포지토리 자격 증명이 필요합니다. 이러한 자격 증명을 획득하면 공격자가 권한을 상승시킬 수 있습니다. 고객은 CodeBuild 자격 증명과 관련된 의심스러운 활동에 대해 git 로그를 검토하는 것이 좋습니다. AWS는 특권 없는 모드를 사용하는 컨테이너 빌드에서 메모리 덤프에 대한 추가 보호 기능을 구현했습니다. 그러나 기여자로부터 코드를 실행하는 빌드 환경의 특성상, AWS는 신뢰할 수 없는 기여자의 자동 Pull Request 빌드 사용을 강력히 권장하지 않습니다. 신뢰할 수 없는 소스의 자동 빌드를 지원해야 하는 공개 리포지토리의 경우, 이 기능은 취약점의 영향을 받지 않으므로 CodeBuild에서 자체 호스팅 GitHub Actions 러너를 사용하는 것이 좋습니다.