Gh Actions - Artifact Poisoning
Avvelenamento degli Artifacts
Ci sono diverse Github Actions che permettono di scaricare artifacts da altri repository. Questi altri repository avranno di solito una Github Action per caricare l'artifact che verrà successivamente scaricato.
Se un attaccante riesce in qualche modo a compromettere la Github Action, sarà in grado di compromettere l'artifact caricato che potrebbe consentirgli di compromettere altri flussi di lavoro che lo utilizzano.
Esempio di scarico di artifact da un repository diverso:
Per ulteriori informazioni e opzioni di difesa (come ad esempio fissare l'artifact da scaricare) controlla https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust
Last updated