プラットフォーム
docker
コンポーネント
harden-runner
修正版
0.12.1
Harden-Runnerは、GitHub Actionsランナーのセキュリティを強化するCI/CDセキュリティエージェントです。バージョン0.12.0から2.11.9までのHarden-Runnerには、disable-sudo機能のバイパス脆弱性が存在します。この脆弱性は、Dockerグループの権限悪用により、攻撃者がルート権限を奪取したり、ホストファイルシステムにアクセスしたりする可能性があります。バージョン2.12.0へのアップデートで修正されています。
この脆弱性は、攻撃者がHarden-Runnerが実行されているGitHub Actionsランナー上でルート権限を奪取することを可能にします。具体的には、DockerグループのメンバーであるランナーユーザーがDockerデーモンとやり取りし、特権コンテナを起動したり、ホストファイルシステムにアクセスしたりすることで、disable-sudoポリシーを回避できます。これにより、攻撃者は機密情報の窃取、コードの改ざん、さらにはランナーがアクセスできる他のリポジトリやシステムへの横展開といった攻撃を実行できる可能性があります。この脆弱性は、Docker環境でHarden-Runnerを使用している組織にとって重大なリスクとなります。
この脆弱性は、公開されており、攻撃者が容易に悪用できる可能性があります。現時点では、KEVに登録されていませんが、Docker環境でHarden-Runnerを使用している組織にとっては、潜在的な脅威となります。公開されているPoCは確認されていませんが、脆弱性の詳細が公開されているため、今後PoCが公開される可能性も考慮する必要があります。NVDおよびCISAの発表を注視し、最新の情報を収集してください。
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. Specifically, deployments utilizing older versions of Harden-Runner (0.12.0 - 2.11.9) and granting the runner user broad Docker group permissions are particularly vulnerable. Shared hosting environments where multiple users share a runner instance also face increased exposure.
• docker: Inspect Docker group membership for the runner user.
getent group docker | grep -q 'runner' && echo 'Potential Vulnerability: Runner user is in Docker group'• docker: Monitor Docker daemon logs for unusual container creation or privilege escalation attempts. • generic web: Review GitHub Actions workflows for any suspicious commands or container configurations. • linux / server: Audit Docker daemon configuration for overly permissive settings. • windows / supply-chain: (Less relevant, but check for Docker Desktop installations on runner machines and their configurations.)
disclosure
エクスプロイト状況
EPSS
0.08% (23% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずHarden-Runnerをバージョン2.12.0にアップデートすることが最も効果的です。アップデートが一時的に利用できない場合は、Dockerグループからランナーユーザーを削除することで、Dockerデーモンへのアクセスを制限し、脆弱性の悪用を軽減できます。また、WAFやプロキシサーバーを使用して、不審なDocker関連のネットワークトラフィックを監視およびブロックすることも有効です。アップデート後、ランナーの権限設定を確認し、不要な権限が付与されていないことを確認してください。
Actualice Harden-Runner a la versión 2.12.0 o superior. Esta versión corrige la vulnerabilidad que permite la evasión de la política 'disable-sudo'. La actualización asegura que la restricción de sudo se aplique correctamente, evitando el acceso no autorizado al sistema.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-32955は、Harden-Runnerのバージョン0.12.0から2.11.9において、disable-sudo機能を迂回される脆弱性です。Dockerグループの権限悪用により、ルート権限の奪取につながる可能性があります。
Harden-Runnerのバージョン0.12.0から2.11.9を使用している場合、この脆弱性に影響を受ける可能性があります。Dockerグループの権限悪用により、攻撃者がルート権限を奪取する可能性があります。
Harden-Runnerをバージョン2.12.0にアップデートすることで、この脆弱性を修正できます。アップデートが一時的に利用できない場合は、Dockerグループからランナーユーザーを削除することで、脆弱性の悪用を軽減できます。
現時点では、CVE-2025-32955の積極的な悪用事例は確認されていません。しかし、脆弱性の詳細が公開されているため、今後悪用される可能性も考慮する必要があります。
Harden-Runnerの公式アドバイザリは、Harden-Runnerの公式ウェブサイトまたはGitHubリポジトリで確認できます。
Dockerfile ファイルをアップロードすると、影響の有無を即座にお知らせします。