Plateforme
docker
Composant
harden-runner
Corrigé dans
0.12.1
Harden-Runner, un agent de sécurité CI/CD, présente une vulnérabilité de bypass de la fonctionnalité disable-sudo. Les versions comprises entre 0.12.0 et 2.12.0 (exclusivement) sont concernées. Cette faille permet à un attaquant, en exploitant l'appartenance du runner à un groupe Docker, de contourner les restrictions sudo et d'obtenir un accès root, compromettant ainsi la sécurité de l'environnement CI/CD. La version 2.12.0 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est significatif, car elle permet à un attaquant de contourner les mesures de sécurité destinées à limiter les privilèges du runner GitHub Actions. En exploitant cette faille, un attaquant peut lancer des conteneurs Docker privilégiés ou accéder directement au système de fichiers hôte. Cela ouvre la voie à une prise de contrôle complète du runner, permettant l'exécution de code malveillant, le vol de données sensibles (clés API, mots de passe, etc.) et le mouvement latéral au sein de l'infrastructure. Cette vulnérabilité rappelle les risques associés à une mauvaise configuration des environnements conteneurisés et à l'utilisation de privilèges élevés dans les pipelines CI/CD. Une compromission du runner peut entraîner une contamination de l'ensemble du code source et des artefacts de build.
Cette vulnérabilité a été rendue publique le 21 avril 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (bypass sudo) et sa facilité d'exploitation potentielle la rendent préoccupante. Elle n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation. Il est donc crucial de prendre des mesures de mitigation rapidement.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. Specifically, deployments utilizing older versions of Harden-Runner (0.12.0 - 2.11.9) and granting the runner user broad Docker group permissions are particularly vulnerable. Shared hosting environments where multiple users share a runner instance also face increased exposure.
• docker: Inspect Docker group membership for the runner user.
getent group docker | grep -q 'runner' && echo 'Potential Vulnerability: Runner user is in Docker group'• docker: Monitor Docker daemon logs for unusual container creation or privilege escalation attempts. • generic web: Review GitHub Actions workflows for any suspicious commands or container configurations. • linux / server: Audit Docker daemon configuration for overly permissive settings. • windows / supply-chain: (Less relevant, but check for Docker Desktop installations on runner machines and their configurations.)
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Harden-Runner vers la version 2.12.0 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès du runner au démon Docker. Cela peut être réalisé en modifiant les permissions du groupe Docker ou en désactivant temporairement l'accès au démon Docker pour le runner. En attendant la mise à jour, il est recommandé de surveiller attentivement les journaux Docker et les activités du runner pour détecter toute activité suspecte. Des règles WAF peuvent également être configurées pour bloquer les requêtes suspectes ciblant le démon Docker. Après la mise à jour, vérifiez que la fonctionnalité disable-sudo fonctionne correctement en tentant d'exécuter une commande sudo en tant que runner et en vous assurant qu'elle est refusée.
Actualice Harden-Runner a la versión 2.12.0 o superior. Esta versión corrige la vulnerabilidad que permite la evasión de la política 'disable-sudo'. La actualización asegura que la restricción de sudo se aplique correctamente, evitando el acceso no autorizado al sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-32955 is a medium-severity vulnerability in Harden-Runner versions 0.12.0 through 2.11.9 that allows users in the Docker group to bypass the disable-sudo policy and potentially gain root access.
You are affected if you are using Harden-Runner versions 0.12.0 through 2.11.9 and the runner user is a member of the Docker group.
Upgrade Harden-Runner to version 2.12.0 or later to resolve the vulnerability. Consider restricting Docker group permissions as an interim measure.
Active exploitation is not currently confirmed, but the vulnerability's nature suggests a potential risk.
Refer to the Harden-Runner project's official security advisories for the most up-to-date information and guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Dockerfile et nous te dirons instantanément si tu es affecté.