发布日期：2026-02-09
更新日期：2026-04-09

受影响系统：

StepSecurity Harden-Runner < 2.14.2

描述：

---

CVE(CAN) ID: CVE-2026-25598

Harden-Runner是StepSecurity开源的一个程序,为 GitHub 托管和自托管的跑步者提供网络出口过滤和运行时安全。
Harden-Runner 2.14.2之前版本存在访问限制绕过漏洞，该漏洞源于使用egress-policy:audit策略时未能拦截通过sendto、sendmsg、sendmmsg系统调用的出站流量，导致这些网络连接不被审计日志记录,攻击者可利用该漏洞发起出站连接绕过审计检测，使恶意流量无法被追溯或发现。

<*链接：https://github.com/step-security/harden-runner/security/advisories/GHSA-cpmj-h4f6-r6pq
*>

建议：

---

厂商补丁：

StepSecurity
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/step-security/harden-runner/security/advisories/GHSA-cpmj-h4f6-r6pq

浏览次数：120
严重程度：0（网友投票）