Plataforma
docker
Componente
harden-runner
Corrigido em
0.12.1
O Harden-Runner, um agente de segurança para CI/CD que atua como um EDR para GitHub Actions runners, apresenta uma vulnerabilidade de bypass do controle disable-sudo. Versões entre 0.12.0 e anteriores a 2.12.0 são afetadas. Essa falha permite que um atacante contorne a restrição de uso do sudo ao explorar a capacidade do usuário do runner de interagir com o daemon Docker, potencialmente levando ao acesso root ou acesso ao sistema de arquivos do host.
A vulnerabilidade permite que um atacante, sendo membro do grupo docker, utilize o daemon Docker para criar contêineres privilegiados ou acessar diretamente o sistema de arquivos do host. Isso pode ser explorado para obter acesso root, permitindo a execução de comandos arbitrários com privilégios elevados. O impacto é significativo, pois compromete a segurança do ambiente de CI/CD e pode levar à exfiltração de dados confidenciais, modificação do código-fonte ou interrupção do pipeline de entrega contínua. A capacidade de escalar privilégios para root torna essa vulnerabilidade particularmente perigosa, similar a cenários onde contêineres Docker são usados para contornar controles de segurança.
A vulnerabilidade foi divulgada em 2025-04-21. Não há informações disponíveis sobre a inclusão em KEV ou um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade (bypass de controle de acesso) sugere que a exploração pode ser relativamente simples para atacantes com conhecimento de Docker. É recomendável monitorar a comunidade de segurança em busca de novas informações e PoCs.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. Specifically, deployments utilizing older versions of Harden-Runner (0.12.0 - 2.11.9) and granting the runner user broad Docker group permissions are particularly vulnerable. Shared hosting environments where multiple users share a runner instance also face increased exposure.
• docker: Inspect Docker group membership for the runner user.
getent group docker | grep -q 'runner' && echo 'Potential Vulnerability: Runner user is in Docker group'• docker: Monitor Docker daemon logs for unusual container creation or privilege escalation attempts. • generic web: Review GitHub Actions workflows for any suspicious commands or container configurations. • linux / server: Audit Docker daemon configuration for overly permissive settings. • windows / supply-chain: (Less relevant, but check for Docker Desktop installations on runner machines and their configurations.)
disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Harden-Runner para a versão 2.12.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso do usuário do runner ao daemon Docker, limitando sua capacidade de criar contêineres privilegiados. Implementar políticas de segurança de contêiner que restrinjam o acesso ao sistema de arquivos do host também pode ajudar a reduzir o impacto. Monitore logs do Docker em busca de atividades suspeitas, como a criação de contêineres com privilégios elevados. Após a atualização, confirme a correção verificando se o usuário do runner não consegue mais executar comandos sudo.
Actualice Harden-Runner a la versión 2.12.0 o superior. Esta versión corrige la vulnerabilidad que permite la evasión de la política 'disable-sudo'. La actualización asegura que la restricción de sudo se aplique correctamente, evitando el acceso no autorizado al sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32955 is a medium-severity vulnerability in Harden-Runner versions 0.12.0 through 2.11.9 that allows users in the Docker group to bypass the disable-sudo policy and potentially gain root access.
You are affected if you are using Harden-Runner versions 0.12.0 through 2.11.9 and the runner user is a member of the Docker group.
Upgrade Harden-Runner to version 2.12.0 or later to resolve the vulnerability. Consider restricting Docker group permissions as an interim measure.
Active exploitation is not currently confirmed, but the vulnerability's nature suggests a potential risk.
Refer to the Harden-Runner project's official security advisories for the most up-to-date information and guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Dockerfile e descubra na hora se você está afetado.