Unauthentifizierte Angreifer können durch unsichere Berechtigungskonfigurationen in GitHub Actions privilegierte Prozesse manipulieren und Code-Repositories übernehmen.
Eine als Cordyceps bezeichnete kritische CI/CD-Schwachstelle ermöglicht Angreifern die volle Kontrolle über Repositories und Supply-Chain-Kompromittierung bei Hunderten Open-Source-Projekten.