Sicherheitslücke in Claude Code GitHub Actions ermöglicht Angreifern Zugriff auf beliebige Repositories
Eine kritische Schwachstelle in der Supply Chain könnte Angreifern ermöglichen, jedes Repository zu kompromittieren, das den offiziellen CI/CD-Workflow , einschließli

Kurzfassung
Warum das wichtig ist
- Eine kritische Schwachstelle in der Supply Chain könnte Angreifern ermöglichen, jedes Repository zu kompromittieren, das den offiziellen CI/CD-Workflow , einschließli
- Ursache der Lücke ist ein fehlerhaftes Berechtigungsmodell in der Funktion `checkWritePermissions`.
- In Kombination mit Prompt-Injection-Techniken erlaubte dies einem vollständig nicht authentifizierten externen Angreifer, Geheimnisse zu exfiltrieren, OIDC-Token zu stehlen und bösartigen Code in jedes nachgelagerte Repository zu pushen, das vom Claude Code GitHub Actions-Workflow abhängt.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine kritische Schwachstelle in der Supply Chain könnte Angreifern ermöglichen, jedes Repository zu kompromittieren, das den offiziellen CI/CD-Workflow , einschließli
Warum relevant
Normalerweise beschränkt Claude Code GitHub Actions die Workflow-Ausführung auf Benutzer mit Schreib- oder Admin-Zugriff.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Normalerweise beschränkt Claude Code GitHub Actions die Workflow-Ausführung auf Benutzer mit Schreib- oder Admin-Zugriff. Die Funktion `checkWritePermissions` vertraute jedoch bedingungslos jedem Akteur, dessen Name mit `[bot]` endet, unabhängig ächlichen Berechtigungen.
Da GitHub-Apps impliziten Lesezugriff auf öffentliche Repositories haben und mithilfe eines Installations-Tokens auf jedem öffentlichen Repository Issues oder Pull Requests erstellen können, konnte ein Angreifer diese Kontrolle vollständig umgehen. Der Angriff verlief in drei Schritten: Zuerst erstellte der Angreifer eine bösartige GitHub-App.
Anschließend installierte er diese App auf einem beliebigen, wobei keine besonderen Berechtigungen erforderlich waren. Schließlich nutzte er das Installations-Token, um im Ziel-Repository ein Issue oder einen Pull Request zu eröffnen.
Da der Akteur als GitHub-App-Bot erschien,
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/claude-codes-github-actions-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/claude-codes-github-actions-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Qualcomm Snapdragon 8 Elite Gen 5 übertrifft das Ryzen AI Z2 Extreme Modell
Tests des REDMAGIC Astra 2 mit dem Snapdragon 8 Elite Gen 5 zeigen, dass dieser mobile Prozessor bei Spielen wie GTA 5 und Red Dead Redemption 2 nahezu die gleiche Leistung wie der AMD Ryzen AI Z2 Extreme im ROG Xbox Ally X erbringt, dabei jedoch nur etwa halb so viel Strom verbraucht. Obwohl die Android-Plattform durch Emulationstechnologien wie Winlator und GameHub diese Ergebnisse ermöglicht, bleiben softwareseitige Hürden wie eine begrenzte AAA-Titel-Bibliothek und Treiberprobleme bestehen, sodass Windows-basierte Handkonsolen aus praktischer Sicht weiterhin Vorteile bieten.
18.07.2026
Live Redaktion


