MADRID, 23 Nov. (Portaltic/EP) -
La plataforma de código abierto GitHub ha corregido un fallo de seguridad que fue detectado por Google hace más de tres meses y que afectó a la función de Acciones de GitHub.
El ingeniero Felix Wilhelm de Project Zero, el equipo de analistas de ciberseguridad de Google, informó por primera vez sobre un fallo en GitHub el pasado 21 de julio, que describió como un error de "gravedad alta".
El fallo afectaba a las funciones de Acciones de la plataforma, una herramienta que facilita la automatización de todos los flujos de trabajo de 'software' y que Wilhelm aseguró que era "altamente vulnerable a ataques de inyección".
Los ataques de inyección son aquellos en los que los atacantes añaden código SQL malicioso en la base de datos aprovechando un fallo, lo que les permite acceder a una cuenta o modificar los datos.
Project Zero hace públicos los fallos que encuentra 90 días después de informarlo y dos días antes de que se cumpliera el límite, GitHub solicitó otros 14 días adicionales para inhabilitar los comandos vulnerables que Google aceptó.
Sin embargo, un día antes de que se hiciera público, GitHub señaló que no inhabilitaría los comandos y solicitó otras 48 horas adicionales no para solucionar el problema, sino para avisar a los clientes.
Finalmente, Project Zero publicó los detalles del error 104 días después de informar sobre el problema a la plataforma y GitHub inhabilitó los comandos vulnerables hace dos semanas.