GitHub Actionsにおける設定ミスに起因したGitHubスタッフのアクセストークン漏洩

(You can read this article in English here.) 免責事項GitHubはBug Bountyプログラムを実施しており、その一環として脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーの基準を遵守した上で調査を行い、その結果発見した脆弱性に関して解説したものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHub上で脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 要約GitHub Actionsのランナーのソースコードをホストするactions/runnerリポジトリにおいて、セルフホストランナーの使用方法に不備があり、結果としてGitHub Actionsに登録されているPersonal Access Tokenの窃取が可能だった。 このトークンはGit

[fog-og-frog2]

こぇぇ

[asuka0801]

“プルリクエスト内のワークフロー定義ファイルで、セルフホストランナーを実行環境として指定することで任意のコードを実行し、環境を汚染することができる。”

[sasasin_net]

ヒエッ