Критична вразливість в Gitea act_runner дозволяє ескалацію прав у Docker-контейнерах
Вразливість CVE-2026-58053 у Gitea act_runner дозволяє ескалацію прав у Docker-контейнерах, що загрожує безпеці хоста.
- CVSS
- 9.4 CRITICAL
- EPSS
- 17.93%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Gitea act_runner з Docker backend (через act 0.262.0) вразливість дозволяє користувачу, який запускає workflow, створити контейнер з привілеями хоста, незважаючи на вимкнений режим privileged. Це дає змогу втекти з контейнера та отримати root-доступ на хості.
Бізнес-вплив
Ця вразливість становить серйозну загрозу для безпеки інфраструктури, оскільки дозволяє зловмиснику отримати повний контроль над хост-системою через контейнер. Для операторів IT та власників інфраструктури це означає ризик компрометації серверів, втрати даних та порушення цілісності систем.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від розробників Gitea та act, а також обмежити можливість запуску workflow користувачами, яким не довіряють. Варто переглянути конфігурації Docker runner, зменшити права доступу, провести аудит логів на предмет підозрілої активності та пріоритезувати виправлення цієї вразливості.