CVE-2026-58053
Kritisk

CVE-2026-58053: Kritisk fejl i Gitea act_runner

Fejl i Gitea act_runner lader brugere med adgang til workflows bryde ud af Docker-containere og overtage hele serveren som administrator.

CVSS Score
9.9
Offentliggjort
28/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2026-58053 er en kritisk sårbarhed i Gitea act_runner — det program, der kører automatiske opgaver (workflows) i Docker-containere for Gitea, som er et populært selvhostet alternativ til GitHub.

Fejlen opstår, fordi act_runner overfører indstillinger fra en workflows konfigurationsfil direkte til Docker uden at filtrere farlige parametre. Selvom systemet er sat op til at forbyde privilegeret adgang (privileged: false), kan en bruger stadig smugle farlige Docker-flag med, som giver adgang til serverens underliggende styresystem. Resultatet er, at en uprivilegeret bruger kan eskalere til root-adgang på den server, der kører runner-programmet.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og teams, der:

  • Kører en selvhostet Gitea-instans med act_runner og Docker-backend
  • Bruger CI/CD-pipelines (automatiske byg- og testprocesser) i Gitea
  • Giver medarbejdere, freelancere eller eksterne samarbejdspartnere adgang til at oprette eller redigere workflows

Du er ikke ramt, hvis du kun bruger Gitea som kode-arkiv uden act_runner, eller hvis din runner kører med en anden backend end Docker.

Hvad kan ske?

En angriber, der kan køre et workflow på din runner, kan:

  • Bryde ud af Docker-containeren og få fuld root-adgang til den underliggende server
  • Læse og kopiere alle filer på serveren — herunder kildekode, hemmeligheder, API-nøgler og adgangskoder
  • Installere bagdøre eller ondsindet software, der overlever genstart
  • Bevæge sig videre i dit netværk fra den kompromitterede server
  • Slette eller kryptere data til brug i et ransomware-angreb

Angrebets CVSS-score er 9,9 ud af 10, hvilket afspejler, at skaden kan ramme fortrolighed, integritet og tilgængelighed fuldt ud — og at effekten rækker ud over containeren selv.

Hvor alvorligt er det?

Sårbarheden er vurderet kritisk (9,9/10) af NVD. Det skyldes kombinationen af:

  • Netværksbaseret angreb — ingen fysisk adgang nødvendig
  • Lav kompleksitet — angrebet er let at udføre
  • Kun lav privilegieniveau kræves — en almindelig bruger med workflow-adgang er nok
  • Ingen brugerinteraktion — offeret behøver ikke klikke på noget
  • Scope-udvidelse — angrebet bryder ud af den isolerede container og rammer hele værtsserveren

CWE-269 (forkert håndtering af privilegier) bekræfter, at kerneproblemet er, at programmet ikke korrekt begrænser, hvad brugere kan bede systemet om at gøre.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt, helst inden for 24-48 timer:

  1. Afgør om du er ramt: Tjek om du kører Gitea med act_runner og Docker-backend. Kør act_runner --version og se om versionen er 0.262.0 eller ældre.
  2. Begræns workflow-adgang midlertidigt: Fjern muligheden for at oprette eller ændre workflows for alle brugere undtagen betroede administratorer, indtil en patch er installeret.
  3. Opdater act_runner: Installér en patchet version så snart den er tilgængelig fra Giteas officielle udgivelsesside. Følg med på https://gitea.com/gitea/act_runner/releases.
  4. Gennemgå eksisterende workflows: Tjek om der allerede er workflows med mistænkelige container.options-parametre som --pid=host, --cap-add eller --security-opt.
  5. Tjek serveren for kompromittering: Gennemgå serverlogfiler for usædvanlig aktivitet, nye brugerkonti eller ukendte processer.
  6. Overvej alternativ backend: Hvis Docker-backend ikke er strengt nødvendig, kan du midlertidigt skifte til en anden runner-backend som Kubernetes eller bare-metal.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Denne sårbarhed er ekstremt alvorlig, fordi den giver en angriber med blot almindelig brugeradgang mulighed for at overtage hele din server. Vores klare anbefaling er at deaktivere eller isolere din act_runner med det samme, hvis du ikke kan garantere, at kun fuldstændig betroede brugere har workflow-adgang. Installer patchen, så snart den er tilgængelig, og undersøg om din server allerede er blevet misbrugt. Kontakt os, hvis du har brug for hjælp til at vurdere din eksponering eller gennemgå dine logfiler.

Tidslinje

28/06/2026
CVE offentliggjort
NVD offentliggør CVE-2026-58053 med en kritisk CVSS-score på 9,9. Sårbarheden i Gitea act_runner med Docker-backend beskrives officielt.
28/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer og konceptbevis (PoC) for container-escape via container.options-parameteren er tilgængeligt i forbindelse med offentliggørelsen, hvilket sænker barren for angribere markant.
28/06/2026
Berørt version identificeret
act_runner op til og med version 0.262.0 med Docker-backend bekræftes som sårbar. Gitea-teamet er notificeret og arbejder på en rettelse.
09/07/2026
Officiel patch forventet
Gitea-teamet har endnu ikke udgivet en patchet version. Opdatering forventes i løbet af kort tid — hold øje med de officielle udgivelsesnoter.

Konkrete eksempler

Freelancer overtager udviklingsserver

En ekstern freelancer, der hjælper med et projekt, har adgang til jeres Gitea-arkiv og kan oprette workflows. Freelanceren tilføjer en linje i workflow-konfigurationen med container.options: "--pid=host --cap-add=SYS_ADMIN". Når workflow’et kører, bryder jobcontaineren ud af Docker og giver freelanceren root-adgang til hele udviklingsserveren — inkl. andre projekters kildekode og gemte adgangskoder.

Kompromitteret medarbejderkonto misbruges

En medarbejders Gitea-konto bliver stjålet via phishing. Angriberen logger ind som medarbejderen og opretter et nyt workflow med ondsindede container.options. Næste gang en automatisk pipeline kører — f.eks. ved et planlagt natte-byg — eskalerer angrebet til serverens root-niveau. Angriberen installerer en bagdør og begynder at kortlægge jeres interne netværk, uden at nogen opdager det.

Ransomware via CI/CD-pipeline

En angriber med en standardbrugerkonto på en offentlig Gitea-instans opretter et workflow, der via container-escape opnår root-adgang til serveren. Derfra krypterer angriberen alle data på serveren og kræver løsesum. Da serveren også er forbundet til backup-lageret, krypteres backups ligeledes, inden nogen reagerer.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-269

Original NVD-beskrivelse (engelsk)

Gitea act_runner with the Docker backend (through act 0.262.0) passes a workflow’s container.options string to the Docker job container’s HostConfig and, when configured with privileged: false, forces only the Privileged flag off while merging options such as –pid=host, –cap-add, and –security-opt unchanged. A user who can run a workflow on a Docker-backed runner can create a job container with host namespaces and broad capabilities and escape to the host as root despite privileged mode being disabled.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-58053
Offentliggjort
28/06/2026
Sidst opdateret
28/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.