CVE-2026-42306
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
W Moby, w wersjach przed 2.0.0-beta.14 oraz w Docker Engine przed 29.5.1, występuje warunkowa rywalizacja podczas konfiguracji montowania, co pozwala złośliwemu kontenerowi na przekierowanie celu montowania do dowolnej ścieżki na hoście. Może to prowadzić do nadpisania plików na hoście lub do odmowy usługi.
Ocena ryzyka
Zagrożenie to może prowadzić do poważnych problemów z bezpieczeństwem, w tym do utraty danych lub przerwania działania usług w organizacji.
Rekomendacja
Zaleca się aktualizację do Docker Engine w wersji 29.5.1 oraz Moby Daemon w wersji 2.0.0-beta.14, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Moby is an open source container framework. In Docker Engine prior to version 29.5.1, Docker Daemon versions 28.5.2 and prior, and Moby Daemon prior to version 2.0.0-beta.14, a race condition during docker cp mount setup allows a malicious container to redirect a bind mount target to an arbitrary host path, potentially overwriting host files or causing denial of service. This issue has been patched in Docker Engine version 29.5.1 and Moby Daemon version 2.0.0-beta.14.

