Gh Actions - Artifact Poisoning
Artifact Poisoning
Hay varias Github Actions que permiten descargar artifacts de otros repositorios. Estos otros repositorios usualmente tendrán una Github Action para subir el artifact que luego será descargado.
Si un atacante puede de alguna manera comprometer la Github Action, podrá comprometer el artifact subido, lo que podría permitirle comprometer otros workflows que lo usen.
Ejemplo de descarga de artifact desde un repositorio diferente:
Para más información y opciones de defensa (como codificar el artifact a descargar) revisa https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust
Last updated