News
Sysdig découvre une vulnérabilité dans Harden-Runner Github Action, outil de sécurité CI/CD très populaire
avril 2025 par Sysdig
L’équipe de recherches sur les menaces (TRT) de Sysdig, spécialiste de la sécurité du Cloud, a découvert une vulnérabilité (CVE-2025-32955) permettant de contourner un mécanisme de sécurité dans Harden-Runner Github action, l’un des outils de sécurité CI/CD les plus populaires.
La vulnérabilité a été corrigée dans Harden-Runner. L’exploitation de cette vulnérabilité permet à un attaquant de contourner le mécanisme de sécurité disable-sudo de Harden-Runner, échappant ainsi à la détection au sein du pipeline CI/CD dans certaines conditions. Pour atténuer ce risque, il est fortement conseillé aux utilisateurs de faire une mise à jour vers la dernière version.
La CVE a reçu un score de base CVSS v3.1 de 6.0.
