Gh Actions - Artifact Poisoning

Aprende hacking en AWS desde cero hasta convertirte en un héroe con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén la merchandising oficial de PEASS & HackTricks
Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Envenenamiento de Artefactos

Existen varias acciones de Github que permiten descargar artefactos de otros repositorios. Estos otros repositorios generalmente tendrán una acción de Github para subir el artefacto que luego será descargado.

Si un atacante logra de alguna manera comprometer la acción de Github, podrá comprometer el artefacto subido lo que podría permitirle comprometer otros flujos de trabajo que lo utilizan.

Ejemplo de descarga de artefacto de un repositorio diferente:

Para obtener más información y opciones de defensa (como codificar de forma rígida el artefacto a descargar) consulta https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Aprende hacking en AWS desde cero hasta convertirte en un héroe con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén la merchandising oficial de PEASS & HackTricks
Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

AnteriorAbusing Github Actions SiguienteGH Actions - Cache Poisoning

Última actualización hace 1 mes