CVE-2025-32955

Nome do Software Vulnerável e Versões Afetadas Versões do Harden-Runner de 0.12.0 a 2.12.0

Descrição O Harden-Runner é um agente de segurança CI/CD que funciona como um EDR para runners do GitHub Actions. A opção de política disable-sudo destina-se a impedir que o usuário do runner do GitHub Actions utilize sudo, removendo o usuário do runner do arquivo sudoers. No entanto, esse controle pode ser contornado, pois o usuário do runner, ao fazer parte do grupo docker, pode interagir com o daemon do Docker para iniciar contêineres privilegiados ou acessar o sistema de arquivos do host, permitindo que o atacante recupere o acesso root ou restaure o arquivo sudoers, contornando efetivamente a restrição.

Recomendações Atualize para a versão 2.12.0 ou posterior para corrigir a vulnerabilidade de bypass do disable-sudo. Como solução temporária, considere restringir o acesso do usuário do runner ao daemon do Docker para minimizar o risco de exploração. Evite utilizar a opção de política disable-sudo até que o problema seja resolvido.