Vulnerabilidade permitiu execução remota de código no servidor de produção do CodeRabbit.
Foram exfiltradas variáveis de ambiente contendo chaves e segredos críticos.
Chave privada do GitHub App foi comprometida, permitindo acesso de escrita a 1 milhão de repositórios.
Ataque comprovado via configuração maliciosa do Rubocop em pull request.
Exemplo de PoC mostrou geração de tokens e clonagem de repositórios privados.
Impactos incluem potencial ataque de cadeia de fornecimento e manipulação de código.
Recomendação: isolar ferramentas externas e restringir variáveis de ambiente e tráfego de saída.
Vulnerabilidade foi corrigida rapidamente após divulgação responsável pela equipe CodeRabbit.
Get notified when new stories are published for "Hacker News 🇵🇹 Português"