Услуга непрерывной интеграции AWS CodeBuild имеет уязвимость безопасности, позволяющую модифицировать код без утверждения. Исследователи безопасности обнаружили, что злонамеренный запрос на извлечение (Pull Request) может привести к извлечению токенов доступа к репозиторию через дамп памяти в среде CodeBuild. Если эти токены имеют права на запись, атакующий может внедрить вредоносный код в репозиторий. Это влияет на все регионы AWS, где используется CodeBuild. Уязвимость была подтверждена как эксплуатируемая для извлечения токенов доступа для репозиториев AWS Toolkit для Visual Studio Code и AWS SDK для .NET, с присвоением CVE-2025-8217. CodeBuild требует учетных данных репозитория для различных операций, таких как доступ к контенту и создание веб-хуков. Получение этих учетных данных может предоставить атакующим повышенные привилегии. Клиентам рекомендуется просмотреть журналы git на подозрительную активность, связанную с учетными данными CodeBuild. AWS реализовала дополнительные меры защиты от дампов памяти в контейнерных сборках с помощью режима без привилегий. Однако, из-за природы среды сборки, выполняющей код от вкладчиков, AWS категорически не рекомендует использовать автоматические сборки запросов на извлечение от непроверенных вкладчиков. Для общедоступных репозиториев, которые должны поддерживать автоматические сборки от непроверенных источников, рекомендуется использовать самохостинг GitHub Actions runners в CodeBuild, поскольку эта функция не затронута уязвимостью.