Gh Actions - Artifact Poisoning
Artifact Poisoning
Existem várias Github Actions que permitem baixar artifacts de outros repositórios. Esses outros repositórios geralmente terão uma Github Action para fazer o upload do artifact que será posteriormente baixado.
Se um atacante conseguir de alguma forma comprometer a Github Action, ele poderá comprometer o artifact enviado, o que poderia permitir que ele comprometesse outros workflows que o utilizam.
Exemplo de download de artifact de um repositório diferente:
Para mais informações e opções de defesa (como codificar o artifact a ser baixado), confira https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust
Last updated