CVE-2026-32946 CVSS 2.7 低危

CVE-2026-32946 Harden-Runner 网络限制绕过漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32946

漏洞类型

安全限制绕过

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Harden-Runner

漏洞概述

Harden-Runner 是 GitHub Actions 的 CI/CD 安全代理。在 2.15.1 及以下版本中存在安全限制绕过漏洞。攻击者若已获取工作流代码执行权限，可利用 TCP DNS 查询绕过 `egress-policy: block` 设置的严格网络限制。该问题导致出站过滤机制失效，攻击者可借此与外部受限通信，对机密性造成低影响。

技术细节

该漏洞源于 Harden-Runner 在执行网络出站策略时，虽然对常规的网络连接层流量进行了过滤，但未对基于 TCP 协议的 DNS 查询实施有效限制。当配置了 `egress-policy: block` 并设置了严格的允许端点列表时，本应拒绝所有不合规流量。然而，攻击者若已获得工作流内的代码执行权限，可使用 `dig` 等工具通过 `+tcp` 参数显式发起基于 TCP 的 DNS 查询。由于此类特定协议流量未被策略正确识别和拦截，攻击者可借此与外部受限网络进行通信，从而成功绕过旨在隔离环境的网络安全控制措施。

攻击链分析

STEP 1

获取代码执行权限

攻击者首先需要获得 GitHub Actions 工作流内的代码执行能力。

STEP 2

识别限制策略

攻击者确认环境已启用 Harden-Runner 并配置了 `egress-policy: block`。

STEP 3

发起 TCP DNS 查询

攻击者使用 `dig +tcp` 等工具发起基于 TCP 协议的 DNS 请求。

STEP 4

绕过网络过滤

由于 Harden-Runner 未正确拦截 TCP DNS 流量，攻击者成功建立与外部网络的连接，绕过出站限制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC to demonstrate bypassing egress-policy using TCP DNS
# Use dig with +tcp flag to query a domain via TCP
dig +tcp @8.8.8.8 example.com

影响范围

Harden-Runner <= 2.15.1

防御指南

临时缓解措施

建议立即升级至 2.16.0 版本修复此漏洞。若无法立即升级，应严格限制 GitHub Actions 仓库的写入权限，防止未经授权的代码提交，从而降低攻击者获取工作流代码执行权限的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表