Nome do software vulnerável e versões afetadas:

dawidd6/action-download-artifact versões anteriores à v6

Descrição:

A vulnerabilidade permite que um invasor sem privilégios introduza artefatos comprometidos em um contexto de fluxo de trabalho privilegiado, explorando o comportamento padrão de pesquisar bifurcações de um repositório em busca de artefatos correspondentes. Isso pode levar ao envenenamento de artefatos, em que um executável malicioso é recuperado e potencialmente executado em um contexto privilegiado. A vulnerabilidade pode ser explorada criando-se um fork de um repositório público, modificando-se o processo de compilação para produzir um artefato comprometido e, em seguida, acionando a compilação para garantir que o artefato comprometido seja sempre o mais recente. A gravidade do impacto varia de contaminação a jusante até comprometimento direto do fluxo de trabalho.

Recomendações:

Para versões do dawidd6/action-download-artifact anteriores à v6, atualize imediatamente para a v6 ou mais recente para alterar o comportamento padrão e evitar a busca por artefatos correspondentes nos forks.

Para usuários que não podem atualizar, defina explicitamente allow forks: false para desativar a busca por artefatos nos forks.