CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-41110

Critical
Published: Translated: NVD NIST

Summary

W projekcie Moby, stworzonym przez Docker do konteneryzacji oprogramowania, wykryto podatność w niektórych wersjach Docker Engine, która może pozwolić atakującemu na obejście wtyczek autoryzacyjnych (AuthZ) w określonych okolicznościach. Wykorzystując specjalnie przygotowane żądanie API, klient API mógłby sprawić, że demon przekazałby żądanie lub odpowiedź do wtyczki autoryzacyjnej bez ciała.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanych działań, w tym eskalacji uprawnień, co stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z Docker Engine. Prawdopodobieństwo wykorzystania tej luki jest niskie, jednak jej istnienie może prowadzić do poważnych konsekwencji.

Recommendation

Zaleca się aktualizację Docker Engine do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemów pod kątem nieautoryzowanych działań. Należy również przeanalizować konfigurację wtyczek autoryzacyjnych w celu zapewnienia ich prawidłowego działania.

Original NVD description (English source)

Moby is an open-source project created by Docker for software containerization. A security vulnerability has been detected in certain versions of Docker Engine, which could allow an attacker to bypass authorization plugins (AuthZ) under specific circumstances. The base likelihood of this being exploited is low. Using a specially-crafted API request, an Engine API client could make the daemon forward the request or response to an authorization plugin without the body. In certain circumstances, the authorization plugin may allow a request which it would have otherwise denied if the body had been forwarded to it. A security issue was discovered In 2018, where an attacker could bypass AuthZ plugins using a specially crafted API request. This could lead to unauthorized actions, including privilege escalation. Although this issue was fixed in Docker Engine v18.09.1 in January 2019, the fix was not carried forward to later major versions, resulting in a regression. Anyone who depends on aut

Vulnerability data from NVD (NIST) · CISA KEV · EPSS