关键漏洞信息 漏洞概述 CVE ID: CVE-2026-25598 发现者: devanshbatham 受影响版本: < v2.14.2 (Harden-Runner Community Tier) 补丁版本: v2.14.2 严重性: 中等 漏洞描述 在Harden-Runner GitHub Action (Community Tier) 中存在一个安全漏洞,该漏洞允许出站网络连接规避审计日志记录。具体来说,使用 , , 和 套接字系统调用的出站流量可以在使用 时绕过检测和日志记录。 受影响版本 Harden-Runner Community Tier: v2.14.2 之前的所有版本 Harden-Runner Enterprise Tier: 不受影响 严重性 中等: 此漏洞影响审计日志记录功能,但需要攻击者已经在工作流中具有代码执行能力。 影响 当Harden-Runner配置为审计模式 ( ) 时,能在工作流中执行任意代码的攻击者可以: 发送出站网络流量而不生成审计日志 绕过基于UDP通信的网络监控 技术细节 漏洞源于某些套接字相关系统调用的不完整监控覆盖。特别是,以下系统调用可以用于发送UDP流量而不会触发审计事件: 具有工作流中代码执行能力的攻击者可以编译和执行使用这些系统调用的原生代码,以建立隐蔽的通信通道。 受影响用户 此漏洞仅影响Harden-Runner Community Tier的用户。Harden-Runner Enterprise Tier不受此绕过技术的影响。 修复措施 社区版用户: 升级到Harden-Runner v2.14.2或更高版本。此版本包含针对日志绕过漏洞的修复。 企业版用户: 无需采取行动。企业版客户不受此漏洞影响。