Katalog CVE

CVE-2026-57231

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podman od wersji 1.8.1 do 5.8.4 zawiera podatność, w której obraz kontenera z zmienną środowiskową zawierającą tylko klucz bez wartości może spowodować przekazanie tej zmiennej z hosta do kontenera. Użycie gwiazdki (*) powoduje przekazanie wszystkich zmiennych hosta, co umożliwia złośliwemu obrazowi wyciek zmiennych środowiskowych Podmana z sesji uruchomienia kontenera.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych zmiennych środowiskowych (np. tokenów, haseł) ustawionych w sesji uruchamiania kontenera, co może prowadzić do nieautoryzowanego dostępu do systemów i danych.

Rekomendacja

Należy natychmiast zaktualizować Podmana do wersji 5.8.4 lub 6.0.0, które zawierają poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Podman is a tool for managing OCI containers and pods. From 1.8.1 until 5.8.4, a container image that contains a environment variable with just a key and no value can trick podman into passing that variable from the host into the container. This is made worse by the fact that using an asterisk (*) will cause podman to pass all host variables into the container. So essentially a malicious image can exfiltrate all podman environment variables that are set in the session from where the container is launched. This vulnerability is fixed in 5.8.4 and 6.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS