Die US-Behörde CISA hat CVE-2025-30066 in ihren Katalog der aktiv ausgenutzten Schwachstellen aufgenommen und warnt vor einer Supply-Chain-Kompromittierung in GitHub Actions. Die Schwachstelle in tj-actions/changed-files ermöglicht Angreifern den Diebstahl sensibler Daten, darunter AWS-Schlüssel und GitHub-Tokens, über Log-Dateien. Ursache ist eine kompromittierte Abhängigkeit namens reviewdog/action-setup@v1, was eine Kettenreaktion im Software-Supply-Chain-Angriff auslöste. Betroffene sollten bis zum 4. April 2025 auf Version 46.0.1 von tj-actions/changed-files aktualisieren.
Expertenanalyse:
Dieser Vorfall zeigt erneut, dass CI/CD-Sicherheit ein kritischer Angriffsvektor bleibt. Open-Source-Abhängigkeiten sind eine Schwachstelle, die oft vernachlässigt wird, und Angreifer nutzen kompromittierte Personal Access Tokens (PATs), um Schadcode einzuschleusen.
Das größte Problem? Solche Attacken bleiben oft unentdeckt. Unternehmen müssen dringend Abhängigkeiten an spezifische Commit-Hashes binden, Code-Integrität kontinuierlich überwachen und strikte Least-Privilege-Richtlinien durchsetzen. Andernfalls wird die nächste harmlose Software-Aktualisierung zur nächsten Sicherheitskatastrophe.
Lesen Sie den vollständigen Artikel hier.
