CVE-2026-5843
HighCVSS 8.2Summary
Backend MLX w Docker Model Runner na macOS wykorzystuje bibliotekę MLX-LM, która bezwarunkowo importuje i wykonuje dowolne pliki Pythona z katalogów modeli poprzez pole model_file w pliku config.json. Brak mechanizmu weryfikacji bezpieczeństwa pozwala na wykonanie złośliwego kodu na hoście Docker jako użytkownik Docker Desktop.
Risk Assessment
Organizacja jest narażona na wykonanie złośliwego kodu, co może prowadzić do kompromitacji systemu oraz wycieku danych. Każdy kontener w sieci Docker może wywołać tę podatność, co zwiększa ryzyko ataku.
Recommendation
Zaleca się ograniczenie dostępu do model_file w pliku config.json oraz wdrożenie mechanizmów weryfikacji bezpieczeństwa dla importowanych plików. Należy również rozważyć uruchamianie backendu MLX w środowisku z odpowiednim piaskownicą.
Original NVD description (English source)
The MLX inference backend in Docker Model Runner on macOS uses the MLX-LM library, which unconditionally imports and executes arbitrary Python files from model directories via the model_file configuration field in config.json. When a model's config.json specifies a model_file pointing to a Python file, MLX-LM uses importlib to load and execute it with no trust_remote_code gate or equivalent safety check. The MLX backend runs without sandboxing, resulting in arbitrary code execution on the Docker host as the Docker Desktop user. Any container on the Docker network can trigger this by calling the model-runner.docker.internal API to pull a malicious model from an attacker-controlled OCI registry and request inference.

