Критична вразливість в Gitea act_runner дозволяє ескалацію прав у Docker-контейнерах

Вразливість CVE-2026-58053 у Gitea act_runner дозволяє ескалацію прав у Docker-контейнерах, що загрожує безпеці хоста.
CVE-2026-58053CVSS 9.4Containers

Критична вразливість в Gitea act_runner дозволяє ескалацію прав у Docker-контейнерах

Вразливість CVE-2026-58053 у Gitea act_runner дозволяє ескалацію прав у Docker-контейнерах, що загрожує безпеці хоста.

CVSS
9.4 CRITICAL
EPSS
17.93%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Gitea act_runner з Docker backend (через act 0.262.0) вразливість дозволяє користувачу, який запускає workflow, створити контейнер з привілеями хоста, незважаючи на вимкнений режим privileged. Це дає змогу втекти з контейнера та отримати root-доступ на хості.

Бізнес-вплив

Ця вразливість становить серйозну загрозу для безпеки інфраструктури, оскільки дозволяє зловмиснику отримати повний контроль над хост-системою через контейнер. Для операторів IT та власників інфраструктури це означає ризик компрометації серверів, втрати даних та порушення цілісності систем.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від розробників Gitea та act, а також обмежити можливість запуску workflow користувачами, яким не довіряють. Варто переглянути конфігурації Docker runner, зменшити права доступу, провести аудит логів на предмет підозрілої активності та пріоритезувати виправлення цієї вразливості.

Джерела