Harden-Runner允许绕过"禁用sudo"策略 · CVE-2025-32955

漏洞详情

包名: actions
受影响仓库: step-security/harden-runner (GitHub Actions)
受影响版本: >= 0.12.0, < 2.12.0
修复版本: 2.12.0

漏洞描述

摘要

Harden-Runner包含一个disable-sudo策略选项，用于阻止GitHub Actions运行器用户使用sudo。该功能通过从sudoers文件中移除运行器用户来实现。然而，此控制措施可以被绕过，因为运行器用户作为docker组的成员，可以与Docker守护进程交互以启动特权容器或访问主机文件系统。这使得攻击者能够重新获得root访问权限或恢复sudoers文件，从而有效绕过限制。

攻击前提

攻击者要绕过此控制，首先需要能够在运行器上运行其恶意代码（例如，通过类似于tj-actions的供应链攻击或利用Pwn Request漏洞）。

影响

能够在配置了disable-sudo: true的运行器上运行恶意代码的攻击者，可以使用Docker将权限提升至root，从而击败预期的安全控制。

受影响配置

在GitHub托管的运行器或临时自托管的基于VM的运行器上使用disable-sudo: true的Harden-Runner配置
此问题不适用于基于Kubernetes的Actions Runner Controller (ARC) Harden-Runner

缓解措施/修复

此漏洞已在Harden-Runner版本v2.12.0中修复。用户应迁移到更强的disable-sudo-and-containers策略。此设置：

禁用sudo访问
移除对dockerd和containerd套接字的访问
完全从运行器卸载Docker，防止基于容器的权限提升路径

额外改进

disable-sudo选项将在未来被弃用，因为它本身不能充分限制权限提升
Harden-Runner现在包含检测功能，可警告试图绕过disable-sudo策略的尝试

技术信息

严重程度: 中等
CVSS评分: 6.0
CVSS向量: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H

致谢

由@loresuso和@darryk10报告。感谢他们与我们合作缓解此漏洞。

Harden-Runner绕过"禁用sudo"策略漏洞分析

本文详细分析了CVE-2025-32955漏洞，该漏洞允许攻击者在GitHub Actions运行器中绕过Harden-Runner的禁用sudo策略，通过Docker组权限实现特权升级，获得root访问权限。