← Alertas
Vulnerabilidad Medio En monitoreo

GitHub actualizó su herramienta de integración continua para bloquear ataques que ejecutan código malicioso con permisos elevados desde pull requests externos

GitHub publicó la versión 7 de actions/checkout que bloquea los ataques 'pwn request' — una técnica donde un colaborador externo envía código malicioso que el pipeline de integración continua ejecuta con acceso a los secretos del repositorio. Desde el 16 de julio, la protección se aplica automáticamente a la mayoría de flujos de trabajo. Los pipelines fijados a versiones específicas deben actualizarse manualmente antes de esa fecha.

2026-06-23 · The Hacker News

Qué ocurrió

GitHub publicó actions/checkout v7 el 18 de junio de 2026, incorporando protecciones contra los ataques “pwn request” — una técnica donde un atacante envía código malicioso a través de un pull request que el pipeline de integración continua procesa con permisos elevados, dando acceso a secretos del repositorio. A partir del 16 de julio, GitHub aplicará la protección retroactivamente a todas las versiones principales con etiquetas flotantes (v4, v3, etc.). Los flujos de trabajo fijados a versiones específicas no recibirán la actualización automática.

Quién está expuesto

Equipos de desarrollo con repositorios en GitHub que usan GitHub Actions — específicamente flujos de trabajo con pull_request_target o workflow_run que procesan código de forks externos. Es un patrón común en proyectos que aceptan contribuciones externas o tienen flujos de revisión automatizada.

A considerar

Verificar si los pipelines usan actions/checkout con versiones fijadas (SHA o número exacto como @v4.1.2) y actualizar manualmente a v7. Los flujos que usan etiquetas flotantes como @v4 recibirán la protección automáticamente el 16 de julio sin intervención. Priorizar flujos que tienen acceso a secretos de producción.

Impacto potencial

Un pull request de un colaborador externo — o de alguien que comprometió una cuenta con acceso al repositorio — puede ejecutar código en el pipeline con acceso a todos los secretos configurados: claves de despliegue a producción, credenciales de bases de datos, tokens de acceso a servicios externos. La confianza que el equipo pone en el pipeline de CI/CD se convierte en la superficie de ataque.

Leer fuente original →