"Docker Engine"də CVE-2026-34040 (CVSS: 8.8) kimi qeydiyyata alınmış yüksək riskli təhlükəsizlik zəifliyi aşkarlanmışdır. Bildirilir ki, bu boşluq müəyyən şərtlər daxilində hücumçuya avtorizasiya plaginlərini (AuthZ) yan keçməyə və host sistem üzərində geniş səlahiyyətlər əldə etməyə imkan verə bilər.
Məlumata əsasən zəiflik CVE-2024-41110 zəifliyi üçün tətbiq edilmiş əvvəlki düzəlişin natamam olması ilə bağlıdır. Xüsusi hazırlanmış API sorğusu vasitəsilə Docker daemon sorğunu avtorizasiya plagininə sorğu gövdəsi (request body) olmadan ötürə bilir. Nəticədə, sorğunun gövdə hissəsini təhlil etməklə girişə nəzarət qərarı verən plaginlər əslində bloklamalı olduqları əməliyyata icazə verə bilər.
Texniki təhlilə görə problem iri həcmli HTTP sorğu gövdələrinin düzgün emal edilməməsindən qaynaqlanır. Hücumçu konteyner yaradılması sorğusunu 1 MB-dan artıq həcmdə formalaşdırmaqla həmin sorğunun plaginə tam ötürülməsinin qarşısını ala bilir. Bu halda plagin sorğunu məhdudlaşdırmır, Docker daemon isə tam sorğunu emal edərək host fayl sisteminə çıxışı olan imtiyazlı konteyner yarada bilir.
Belə istismar ssenarisində hücumçu AWS etimadnamələri, SSH açarları, Kubernetes konfiqurasiyaları və host sistemdə saxlanılan digər həssas məlumatları ələ keçirə bilər. Bu isə sonradan bulud hesablarının, Kubernetes klasterlərinin və istehsal mühitlərinin komprometasiyasına səbəb ola bilər. Həmçinin, Docker əsaslı sandbox mühitində işləyən süni intellekt agentlərinin də bu zəiflikdən sui-istifadə edə biləcəyi qeyd olunur. Belə agentlər müəyyən sazlama tapşırıqları zamanı yaranan xətalara cavab olaraq doldurulmuş HTTP sorğusu formalaşdırıb avtorizasiya nəzarətini yan keçə bilər.
Problem Docker Engine 29.3.1 versiyasında aradan qaldırılmışdır. Müvəqqəti qorunma tədbiri kimi Docker API’yə çıxışın yalnız etibarlı istifadəçilərlə məhdudlaşdırılması, rootless mode rejimindən istifadə olunması və sorğu gövdəsi (request body) təhlilinə əsaslanan AuthZ plaginlərindən ehtiyatla istifadə edilməsi tövsiyə olunur.
17 aprel 2026
15 aprel 2026
13 aprel 2026
10 aprel 2026
08 aprel 2026
06 aprel 2026
03 aprel 2026
02 aprel 2026
© 2011-2026 Bütün Hüquqlar Qorunur
