Katalog CVE

CVE-2026-42306

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 - wyżej niż 1% wszystkich znanych CVE

Streszczenie

W Moby, w wersjach przed 2.0.0-beta.14 oraz w Docker Engine przed 29.5.1, występuje warunkowa rywalizacja podczas konfiguracji montowania, co pozwala złośliwemu kontenerowi na przekierowanie celu montowania do dowolnej ścieżki na hoście. Może to prowadzić do nadpisania plików na hoście lub do odmowy usługi.

Ocena ryzyka

Zagrożenie to może prowadzić do poważnych problemów z bezpieczeństwem, w tym do utraty danych lub przerwania działania usług w organizacji.

Rekomendacja

Zaleca się aktualizację do Docker Engine w wersji 29.5.1 oraz Moby Daemon w wersji 2.0.0-beta.14, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Moby is an open source container framework. In Docker Engine prior to version 29.5.1, Docker Daemon versions 28.5.2 and prior, and Moby Daemon prior to version 2.0.0-beta.14, a race condition during docker cp mount setup allows a malicious container to redirect a bind mount target to an arbitrary host path, potentially overwriting host files or causing denial of service. This issue has been patched in Docker Engine version 29.5.1 and Moby Daemon version 2.0.0-beta.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS