Gh Actions - Artifact Poisoning

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository github.

Artifact Poisoning

Ci sono diverse Github Actions che permettono di scaricare artifact da altri repository. Questi altri repository avranno solitamente una Github Action per caricare l'artifact che verrà successivamente scaricato.

Se un attaccante riesce in qualche modo a compromettere la Github Action, sarà in grado di compromettere l'artifact caricato il che potrebbe permettergli di compromettere altri workflow che lo utilizzano.

Esempio di download di artifact da un repository diverso:

Per ulteriori informazioni e opzioni di difesa (come hardcoding dell'artifact da scaricare) controlla https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository github.

PreviousAbusing Github Actions NextGH Actions - Cache Poisoning

Last updated 1 month ago