Gh Actions - Artifact Poisoning
Poisoning de Artefactos
Hay varias Github Actions que permiten descargar artefactos de otros repositorios. Estos otros repositorios generalmente tendrán una Github Action para subir el artefacto que luego será descargado.
Si un atacante puede comprometer de alguna manera la Github Action, podrá comprometer el artefacto subido, lo que podría permitirle comprometer otros flujos de trabajo que lo utilicen.
Ejemplo de descarga de artefacto de un repositorio diferente:
Para más información y opciones de defensa (como codificar en duro el artefacto a descargar) consulta https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust
Last updated
