Katalog CVE

CVE-2026-12039

ŚrednieCVSS 5.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Podatność w Docker Sandboxes (sbx) pozwala na ominięcie listy dozwolonych domen HTTP/S poprzez wykorzystanie tunelowania DNS. Wbudowany serwer DNS przekazuje zapytania do hosta bez sprawdzania polityki, co umożliwia nieufnemu obciążeniu eksfiltrację danych zakodowanych w etykietach DNS.

Ocena ryzyka

Organizacja narażona jest na wyciek danych z kontenerów, które według modelu zagrożenia są nieufne, poprzez ukryty kanał DNS, co omija skonfigurowane reguły bezpieczeństwa sieci.

Rekomendacja

Należy zaktualizować Docker Sandboxes do wersji, w której polityka listy dozwolonych jest stosowana również do zapytań DNS, lub tymczasowo ograniczyć dostęp do zewnętrznych serwerów DNS dla sieci kontenerów.

Oryginalny opis (angielski, źródło NVD)

Docker Sandboxes (sbx) enforces an HTTP/S-only egress allowlist but does not apply it to DNS resolution: the per-network embedded DNS server forwards any queried name to the host resolver whenever the network is internet-connected, without consulting the policy. A workload inside a sandbox, which the threat model treats as untrusted, can therefore encode data into DNS labels for an attacker-controlled domain and exfiltrate it through a DNS covert channel, bypassing the configured allowlist.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS