Дослідники компанії Novee Security виявили новий клас критичних помилок у налаштуваннях конвеєрів автоматичної розробки, який отримав назву Cordyceps. Вразливість дозволяє стороннім користувачам без будь-яких привілеїв чи попередньої авторизації перехоплювати контроль над кодовою базою найбільших технологічних організацій світу. Під загрозою опинилися понад 300 популярних відкритих репозиторіїв, які належать компаніям Microsoft, Google, Cloudflare, Apache та Python.

Причина проблеми полягає в надлишкових правах доступу для зовнішніх запитів на злиття змін. Будь-який анонімний користувач через створення шкідливого запиту міг спровокувати виконання привілейованих інструкцій на серверах автоматизації розробки. Це відкривало шлях до впровадження сторонніх команд, крадіжки секретних файлів і довготривалих токенів автоматизації. Після розкриття інформації більшість розробників негайно випустили виправлення безпеки.