GitHub Copilot-Schwachstelle CVE-2025-59145 erlaubt Datenextraktion

CopilotDer in der Plattform GitHub von Microsoft integrierte Copilot sorgt mal wieder für Ärger. Es gab eine Schwachstelle CVE-2025-59145, die mit einem CVSS Score von 9.6 schon heftig ist. Über die Schwachstelle können Angreifer sensitive Daten von GitHub-Projekten extrahieren. Der Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, konnte abgezogen werden.

Die Schwachstelle CVE-2025-59145

Die CamoLeak getaufte Schwachstelle CVE-2025-59145 wurde laut BlackFog im Oktober 2025 öffentlich bekannt. Kurz vorher hatte GitHub das Problem im August 2025 durch die Deaktivierung der Bilddarstellung in Copilot Chat entschärft.

Die CamoLeak-Angriffskette basiert darauf, dass GitHub Copilot Chat Pull-Anfragen überprüft, indem es Beschreibungen, Code und Repo-Dateien unter Verwendung der Zugriffsberechtigungen des Entwicklers liest. Über die CamoLeak-Schwachstelle ließ sich dieser vertrauenswürdige Zugriff ausnutzten, indem bösartige Anweisungen in der unsichtbaren Markdown-Kommentarsyntax von GitHub versteckt werden. So ließen sich privater Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, abrufen.

GitHub Copilot-Schwachstelle

CyberSecurityNews geht in diesem Artikel auf die Details ein. Der Vorfall zeigt erneut, auf welch riskantem Weg die Entwickler mit der ganzen AI / Copilot-Geschichte unterwegs sind.

Dieser Beitrag wurde unter AI, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

3 Kommentare zu GitHub Copilot-Schwachstelle CVE-2025-59145 erlaubt Datenextraktion

  1. Grimeton sagt:

    Oh nein, was ist passiert?
    Was ist passiert? Oh nein!
    Wie schrecklich! Das ist einfach nur furchtbar!
    Wie schrecklich! Oh nein!
    Das konnte ja niemand ahnen!
    Oh nein!

    • Giesama sagt:

      Schade, was MS diesem Blog nicht liest und die Kommentare in ihren Entscheidungen mit Einbezieht.
      @GB kannst du keine API einbinden, die die Kommentare direkt in ein MS-Ticket oder so einreicht?

      • Günter Born sagt:

        Der eine oder andere MS Mitarbeiter liest schon mit. Ist aber wie bei Staaten oder diversen Unternehmen: Die Entscheidungen werden an der Spitze getroffen, nicht immer klug und auf Informationen basierend.

        Manchmal ist das von Vorteil, manchmal geht es schief.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.