Sari la continut
marți, 14 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

Vulnerabilitatea GitLost expune date private din repository-urile GitHub

O vulnerabilitate permite atacatorilor neautentificați să extragă date din repository-uri private GitHub prin intermediul unui Issue public.

TI 13 iulie 2026 4 min read
Pe scurt
  • O vulnerabilitate permite atacatorilor neautentificați să extragă date din repository-uri private GitHub prin intermediul unui Issue public.
Continua analiza

O nouă vulnerabilitate de securitate, denumită GitLost, afectează fluxurile de lucru agentice (agentic workflows) de pe GitHub. Aceasta permite unui atacator neautentificat să creeze un Issue într-un repository public al organizației și să extragă, în mod silențios, date din repository-urile private ale acesteia.

Cum funcționează atacul

GitLost exploatează modul în care GitHub gestionează Issue-urile în repository-urile publice. Prin crearea unui Issue cu un conținut special conceput, atacatorul poate declanșa execuția unor fluxuri de lucru automate (workflows) care au acces la date sensibile. Aceste fluxuri, deși sunt configurate să ruleze doar în contextul repository-ului public, pot fi păcălite să trimită informații din repository-uri private asociate aceleiași organizații.

Vulnerabilitatea nu necesită autentificare prealabilă – orice utilizator poate deschide un Issue într-un repository public. Odată ce Issue-ul este creat, atacul se desfășoară fără a lăsa urme evidente, ceea ce îl face deosebit de periculos.

Impactul și riscurile

Datele care pot fi expuse includ chei API, token-uri de acces, parole, cod sursă nepublicat, configurații interne și alte informații confidențiale. Deoarece atacatorul poate controla ce date sunt extrase prin intermediul Issue-ului, riscul este maxim pentru organizațiile care folosesc fluxuri agentice cu permisiuni largi.

GitLost a fost descoperit de cercetători în securitate și raportat responsabil către GitHub. În momentul publicării, nu există încă un patch oficial, dar se recomandă măsuri imediate de atenuare.

Ce înseamnă pentru tine

  • Revizuiește permisiunile fluxurilor de lucru: Asigură-te că workflow-urile care rulează pe Issue-uri au acces minim la datele sensibile și nu pot accesa repository-uri private decât dacă este strict necesar.
  • Monitorizează Issue-urile publice: Urmărește cu atenție orice Issue nou creat în repository-urile publice ale organizației tale, în special cele care conțin linkuri sau comenzi suspecte.
  • Actualizează securitatea: Așteaptă patch-ul oficial de la GitHub și aplică-l imediat ce este disponibil. Până atunci, ia în considerare dezactivarea trigerelor pe Issue pentru fluxurile critice.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.