CVE-2026-12039
ŚrednieCVSS 5.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Podatność w Docker Sandboxes (sbx) pozwala na ominięcie listy dozwolonych domen HTTP/S poprzez wykorzystanie tunelowania DNS. Wbudowany serwer DNS przekazuje zapytania do hosta bez sprawdzania polityki, co umożliwia nieufnemu obciążeniu eksfiltrację danych zakodowanych w etykietach DNS.
Ocena ryzyka
Organizacja narażona jest na wyciek danych z kontenerów, które według modelu zagrożenia są nieufne, poprzez ukryty kanał DNS, co omija skonfigurowane reguły bezpieczeństwa sieci.
Rekomendacja
Należy zaktualizować Docker Sandboxes do wersji, w której polityka listy dozwolonych jest stosowana również do zapytań DNS, lub tymczasowo ograniczyć dostęp do zewnętrznych serwerów DNS dla sieci kontenerów.
Oryginalny opis (angielski, źródło NVD)
Docker Sandboxes (sbx) enforces an HTTP/S-only egress allowlist but does not apply it to DNS resolution: the per-network embedded DNS server forwards any queried name to the host resolver whenever the network is internet-connected, without consulting the policy. A workload inside a sandbox, which the threat model treats as untrusted, can therefore encode data into DNS labels for an attacker-controlled domain and exfiltrate it through a DNS covert channel, bypassing the configured allowlist.

