Platform
docker
Component
harden-runner
Opgelost in
0.12.1
CVE-2025-32955 is een beveiligingslek in Harden-Runner, een CI/CD beveiligingsagent, dat een EDR-achtige functie biedt voor GitHub Actions runners. Deze kwetsbaarheid maakt het mogelijk om de disable-sudo beveiliging te omzeilen, waardoor een aanvaller potentieel root-toegang kan verkrijgen. De kwetsbaarheid treft versies van Harden-Runner tussen 0.12.0 (inclusief) en 2.12.0 (exclusief). Een update naar versie 2.12.0 lost dit probleem op.
Deze kwetsbaarheid stelt een aanvaller in staat om de disable-sudo beveiliging in Harden-Runner te omzeilen. Omdat de gebruiker van de GitHub Actions runner lid is van de docker-groep, kan deze communiceren met de Docker daemon om geprivilegieerde containers te starten of toegang te krijgen tot het hostbestandssysteem. Dit kan leiden tot het verkrijgen van root-toegang op de runner, het manipuleren van de omgeving, het uitvoeren van kwaadaardige code of het compromitteren van gevoelige gegevens die door de CI/CD-pipeline worden verwerkt. De impact is aanzienlijk, aangezien een succesvolle exploitatie de gehele CI/CD-pipeline kan compromitteren en de integriteit van de softwareontwikkelingsprocessen kan ondermijnen.
Op dit moment is er geen publieke exploitatie van CVE-2025-32955 bekend. De kwetsbaarheid is recentelijk openbaar gemaakt (2025-04-21) en is nog niet opgenomen in de CISA KEV catalogus. Er zijn geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid. Het is echter belangrijk om deze kwetsbaarheid serieus te nemen, aangezien de impact aanzienlijk kan zijn.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. Specifically, deployments utilizing older versions of Harden-Runner (0.12.0 - 2.11.9) and granting the runner user broad Docker group permissions are particularly vulnerable. Shared hosting environments where multiple users share a runner instance also face increased exposure.
• docker: Inspect Docker group membership for the runner user.
getent group docker | grep -q 'runner' && echo 'Potential Vulnerability: Runner user is in Docker group'• docker: Monitor Docker daemon logs for unusual container creation or privilege escalation attempts. • generic web: Review GitHub Actions workflows for any suspicious commands or container configurations. • linux / server: Audit Docker daemon configuration for overly permissive settings. • windows / supply-chain: (Less relevant, but check for Docker Desktop installations on runner machines and their configurations.)
disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-32955 is het upgraden van Harden-Runner naar versie 2.12.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker van de GitHub Actions runner. Controleer of de Docker daemon goed beveiligd is en alleen toegang verleent aan vertrouwde processen. Implementeer strikte toegangscontroles en monitoring om verdachte activiteiten te detecteren. Na de upgrade, verifieer de fix door te proberen de disable-sudo beveiliging te omzeilen via Docker en controleer of de poging mislukt.
Actualice Harden-Runner a la versión 2.12.0 o superior. Esta versión corrige la vulnerabilidad que permite la evasión de la política 'disable-sudo'. La actualización asegura que la restricción de sudo se aplique correctamente, evitando el acceso no autorizado al sistema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-32955 is a medium-severity vulnerability in Harden-Runner versions 0.12.0 through 2.11.9 that allows users in the Docker group to bypass the disable-sudo policy and potentially gain root access.
You are affected if you are using Harden-Runner versions 0.12.0 through 2.11.9 and the runner user is a member of the Docker group.
Upgrade Harden-Runner to version 2.12.0 or later to resolve the vulnerability. Consider restricting Docker group permissions as an interim measure.
Active exploitation is not currently confirmed, but the vulnerability's nature suggests a potential risk.
Refer to the Harden-Runner project's official security advisories for the most up-to-date information and guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Dockerfile-bestand en we vertellen je direct of je getroffen bent.