GitHub Copilot-Schwachstelle CVE-2025-59145 erlaubt Datenextraktion

Veröffentlicht am 11. April 2026 von Günter Born

CopilotDer in der Plattform GitHub von Microsoft integrierte Copilot sorgt mal wieder für Ärger. Es gab eine Schwachstelle CVE-2025-59145, die mit einem CVSS Score von 9.6 schon heftig ist. Über die Schwachstelle können Angreifer sensitive Daten von GitHub-Projekten extrahieren. Der Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, konnte abgezogen werden.

Die Schwachstelle CVE-2025-59145

Die CamoLeak getaufte Schwachstelle CVE-2025-59145 wurde laut BlackFog im Oktober 2025 öffentlich bekannt. Kurz vorher hatte GitHub das Problem im August 2025 durch die Deaktivierung der Bilddarstellung in Copilot Chat entschärft.

Die CamoLeak-Angriffskette basiert darauf, dass GitHub Copilot Chat Pull-Anfragen überprüft, indem es Beschreibungen, Code und Repo-Dateien unter Verwendung der Zugriffsberechtigungen des Entwicklers liest. Über die CamoLeak-Schwachstelle ließ sich dieser vertrauenswürdige Zugriff ausnutzten, indem bösartige Anweisungen in der unsichtbaren Markdown-Kommentarsyntax von GitHub versteckt werden. So ließen sich privater Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, abrufen.

GitHub Copilot-Schwachstelle

CyberSecurityNews geht in diesem Artikel auf die Details ein. Der Vorfall zeigt erneut, auf welch riskantem Weg die Entwickler mit der ganzen AI / Copilot-Geschichte unterwegs sind.

Dieser Beitrag wurde unter AI, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

3 Kommentare zu GitHub Copilot-Schwachstelle CVE-2025-59145 erlaubt Datenextraktion

  1. Grimeton sagt:
    11. April 2026 um 15:01 Uhr

    Oh nein, was ist passiert?
    Was ist passiert? Oh nein!
    Wie schrecklich! Das ist einfach nur furchtbar!
    Wie schrecklich! Oh nein!
    Das konnte ja niemand ahnen!
    Oh nein!

    Antworten
    • Giesama sagt:
      11. April 2026 um 19:37 Uhr

      Schade, was MS diesem Blog nicht liest und die Kommentare in ihren Entscheidungen mit Einbezieht.
      @GB kannst du keine API einbinden, die die Kommentare direkt in ein MS-Ticket oder so einreicht?

      Antworten
      • Günter Born sagt:
        11. April 2026 um 19:50 Uhr

        Der eine oder andere MS Mitarbeiter liest schon mit. Ist aber wie bei Staaten oder diversen Unternehmen: Die Entscheidungen werden an der Spitze getroffen, nicht immer klug und auf Informationen basierend.

        Manchmal ist das von Vorteil, manchmal geht es schief.

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.