Plataforma
docker
Componente
harden-runner
Corregido en
0.12.1
Harden-Runner, un agente de seguridad para CI/CD que actúa como EDR para GitHub Actions runners, presenta una vulnerabilidad de bypass de la política disable-sudo. Esta falla permite a un atacante, al ser miembro del grupo docker, interactuar con el demonio Docker para lanzar contenedores privilegiados o acceder al sistema de archivos del host, comprometiendo la seguridad del runner. Las versiones afectadas son desde la 0.12.0 hasta la 2.12.0 (excluida), y la solución es actualizar a la versión 2.12.0.
La vulnerabilidad de bypass de disable-sudo en Harden-Runner tiene un impacto significativo en la seguridad de los entornos de CI/CD. Un atacante que explote esta falla puede obtener acceso root al sistema host, lo que le permite ejecutar comandos arbitrarios, robar credenciales, modificar el código fuente o comprometer la infraestructura subyacente. Al ser miembro del grupo docker, el atacante puede crear contenedores privilegiados que le permitan eludir las restricciones impuestas por la política disable-sudo. Esto es particularmente preocupante en entornos donde los runners de GitHub Actions se utilizan para construir y desplegar aplicaciones sensibles, ya que un atacante podría inyectar código malicioso en el proceso de construcción o comprometer el entorno de despliegue.
Esta vulnerabilidad ha sido publicada el 2025-04-21. No se ha añadido a KEV al momento de la redacción. La probabilidad de explotación se considera media, dado que requiere acceso al entorno de GitHub Actions y conocimiento de la vulnerabilidad. No se han reportado públicamente pruebas de concepto (PoCs) activas, pero la descripción de la vulnerabilidad es clara y permite la creación de un exploit relativamente sencillo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. Specifically, deployments utilizing older versions of Harden-Runner (0.12.0 - 2.11.9) and granting the runner user broad Docker group permissions are particularly vulnerable. Shared hosting environments where multiple users share a runner instance also face increased exposure.
• docker: Inspect Docker group membership for the runner user.
getent group docker | grep -q 'runner' && echo 'Potential Vulnerability: Runner user is in Docker group'• docker: Monitor Docker daemon logs for unusual container creation or privilege escalation attempts. • generic web: Review GitHub Actions workflows for any suspicious commands or container configurations. • linux / server: Audit Docker daemon configuration for overly permissive settings. • windows / supply-chain: (Less relevant, but check for Docker Desktop installations on runner machines and their configurations.)
disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 2.12.0 de Harden-Runner, que corrige el bypass de disable-sudo. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al demonio Docker y revisar cuidadosamente las políticas de seguridad del grupo docker. Además, se pueden implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear el tráfico malicioso que intente explotar esta vulnerabilidad. La monitorización de la actividad del grupo docker y la búsqueda de contenedores privilegiados inesperados también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que la política disable-sudo está funcionando correctamente verificando que el usuario del runner no puede ejecutar comandos con sudo.
Actualice Harden-Runner a la versión 2.12.0 o superior. Esta versión corrige la vulnerabilidad que permite la evasión de la política 'disable-sudo'. La actualización asegura que la restricción de sudo se aplique correctamente, evitando el acceso no autorizado al sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32955 is a medium-severity vulnerability in Harden-Runner versions 0.12.0 through 2.11.9 that allows users in the Docker group to bypass the disable-sudo policy and potentially gain root access.
You are affected if you are using Harden-Runner versions 0.12.0 through 2.11.9 and the runner user is a member of the Docker group.
Upgrade Harden-Runner to version 2.12.0 or later to resolve the vulnerability. Consider restricting Docker group permissions as an interim measure.
Active exploitation is not currently confirmed, but the vulnerability's nature suggests a potential risk.
Refer to the Harden-Runner project's official security advisories for the most up-to-date information and guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Dockerfile y te decimos al instante si estás afectado.