Gh Actions - Artifact Poisoning
Artifact Poisoning
कई Github Actions हैं जो अन्य रिपॉजिटरीज से artifacts डाउनलोड करने की अनुमति देते हैं. ये अन्य रिपॉजिटरीज आमतौर पर एक Github Action का उपयोग करेंगे जो artifact अपलोड करेगा जिसे बाद में डाउनलोड किया जाएगा.
यदि हमलावर किसी तरह से Github Action को समझौता कर सकता है, तो वह अपलोड किए गए artifact को समझौता करने में सक्षम होगा जिससे उसे अन्य workflows को समझौता करने की अनुमति मिल सकती है जो इसका उपयोग करते हैं.
एक अलग रिपॉजिटरी से artifact डाउनलोड करने का उदाहरण:
अधिक जानकारी और रक्षा विकल्पों के लिए (जैसे कि डाउनलोड करने के लिए artifact को हार्डकोडिंग करना) https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust देखें
Last updated