CVE-2026-57231
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podman od wersji 1.8.1 do 5.8.4 zawiera podatność, w której obraz kontenera z zmienną środowiskową zawierającą tylko klucz bez wartości może spowodować przekazanie tej zmiennej z hosta do kontenera. Użycie gwiazdki (*) powoduje przekazanie wszystkich zmiennych hosta, co umożliwia złośliwemu obrazowi wyciek zmiennych środowiskowych Podmana z sesji uruchomienia kontenera.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych zmiennych środowiskowych (np. tokenów, haseł) ustawionych w sesji uruchamiania kontenera, co może prowadzić do nieautoryzowanego dostępu do systemów i danych.
Rekomendacja
Należy natychmiast zaktualizować Podmana do wersji 5.8.4 lub 6.0.0, które zawierają poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Podman is a tool for managing OCI containers and pods. From 1.8.1 until 5.8.4, a container image that contains a environment variable with just a key and no value can trick podman into passing that variable from the host into the container. This is made worse by the fact that using an asterisk (*) will cause podman to pass all host variables into the container. So essentially a malicious image can exfiltrate all podman environment variables that are set in the session from where the container is launched. This vulnerability is fixed in 5.8.4 and 6.0.0.

