V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
bdu,anchore_overrides,nvd

Docker

Уязвимости
185
Эксплуатируемые
1
Критический
30
Высокий
84

Топ продуктов

Docker75Docker Desktop46Desktop27Runc7Engine6Buildkit5Docker Desktop For Windows4Buildx2Command Line Interface2Cs Engine2Libcontainer2Model Runner2Notary2Adminer1Alpine Linux Docker1Boot2docker1Compose1Composer Docker Image1Credential Helpers1Crux Linux Docker Image1

Топ уязвимостей

BDU:2024-01029Уязвимость программного средства сборки контейнеров BuildKit связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, удалить произвольные файлы за пределами контейнера
CVE-2024-41110Moby - это проект с открытым исходным кодом, созданный Docker для контейнеризации программного обеспечения. В некоторых версиях Docker Engine обнаружена уязвимость безопасности, которая может позволить злоумышленнику обойти плагины авторизации (AuthZ) при определенных обстоятельствах. Базовая вероятность эксплуатации этого низкая. Используя специально разработанный API-запрос, клиент Engine API может заставить демон пересылать запрос или ответ плагину авторизации без тела. При определенных обстоятельствах плагин авторизации может разрешить запрос, который в противном случае был бы отклонен, если бы тело было переслано ему. В 2018 году была обнаружена проблема безопасности, когда злоумышленник мог обойти плагины AuthZ с помощью специально созданного API-запроса. Это может привести к несанкционированным действиям, включая повышение привилегий. Хотя эта проблема была исправлена в Docker Engine v18.09.1 в январе 2019 года, исправление не было перенесено в более поздние основные версии, что привело к регрессии. Любой, кто зависит от плагинов авторизации, которые анализируют тело запроса и/или ответа для принятия решений о контроле доступа, потенциально подвержен риску. Docker EE v19.03.x и все версии Mirantis Container Runtime не уязвимы. docker-ce v27.1.1 содержит патчи для устранения этой уязвимости. Патчи также были объединены в основные ветки релизов 19.03, 20.0, 23.0, 24.0, 25.0, 26.0 и 26.1. Если нет возможности немедленно обновиться, избегайте использования плагинов AuthZ и/или ограничьте доступ к Docker API для доверенных лиц, следуя принципу наименьших привилегий.
BDU:2024-05760Уязвимость плагинов авторизации (AuthZ) программного обеспечения автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker Engine связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии, путем отправки специально созданного запроса API с Content-Length, равным 0
CVE-2023-0626Docker Desktop до версии 4.12.0 уязвим для удаленного выполнения кода через параметры запроса в маршруте message-box. Эта проблема затрагивает Docker Desktop: до версии 4.12.0.
CVE-2023-0625Docker Desktop до версии 4.12.0 уязвим для удаленного выполнения кода через специально созданное описание расширения или журнал изменений. Эта проблема затрагивает Docker Desktop: до версии 4.12.0.
CVE-2020-35467Образ Docker Docs Docker до 2020-12-14 содержит пустой пароль для пользователя root. Системы, развернутые с использованием уязвимых версий контейнера Docker Docs, могут позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-35197Официальные образы memcached docker до версии 1.5.11-alpine (только для Alpine) содержат пустой пароль для пользователя root. Система, использующая контейнер memcached docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-35196Официальные образы rabbitmq docker до версии 3.7.13-beta.1-management-alpine (только для Alpine) содержат пустой пароль для пользователя root. Система, использующая контейнер rabbitmq docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-35195Официальные образы haproxy docker до версии 1.8.18-alpine (только для Alpine) содержат пустой пароль для пользователя root. Система, использующая контейнер haproxy docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-35186Официальные образы adminer docker до версии 4.7.0-fastcgi содержат пустой пароль для пользователя root. Система, использующая контейнер adminer docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-35185Официальные образы ghost docker до версии 2.16.1-alpine (только для Alpine) содержат пустой пароль для пользователя root. Система, использующая контейнер ghost docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-35184Официальные образы composer docker до версии 1.8.3 содержат пустой пароль для пользователя root. Система, использующая контейнер composer docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-29601Официальные образы notary docker до signer-0.6.1-1 содержат пустой пароль для пользователя root. Система, использующая контейнер notary docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-29591Версии официальных образов registry Docker до 2.7.0 содержат пустой пароль для пользователя root. Системы, развернутые с использованием затронутых версий контейнера registry, могут позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-29581Официальные образы spiped docker до 1.5-alpine содержат пустой пароль для пользователя root. Системы, использующие контейнер spiped docker, развернутый затронутыми версиями образа docker, могут позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-29580Официальные образы storm Docker до 1.2.1 содержат пустой пароль для пользователя root. Системы, использующие контейнер Storm Docker, развернутый затронутыми версиями образа Docker, могут позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-29575Официальные образы elixir Docker до 1.8.0-alpine (только для Alpine) содержат пустой пароль для пользователя root. Системы, использующие контейнер elixir Linux Docker, развернутый затронутыми версиями образа Docker, могут позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-29389Официальные образы Docker Crux Linux 3.0-3.4 содержат пустой пароль для пользователя root. Система, использующая контейнер Crux Linux Docker, развернутый с помощью уязвимых версий образа Docker, может позволить злоумышленнику получить root-доступ с пустым паролем.
CVE-2015-9259В Docker Notary до версии 0.1 функция checkRoot в gotuf/client/client.go не проверяет срок действия файлов root.json, несмотря на комментарий, утверждающий, что это так. Даже если пользователь создает новый файл root.json после компрометации ключа, злоумышленник может создать файлы обновления, ссылающиеся на старый файл root.json.
CVE-2014-0048Проблема была обнаружена в Docker до версии 1.6.0. Некоторые программы и скрипты в Docker загружаются через HTTP, а затем выполняются или используются небезопасными способами.
BDU:2026-07149Уязвимость программного средства сборки контейнеров BuildKit связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2024-01030Уязвимость программного средства сборки контейнеров BuildKit связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, производить запуск контейнеров с повышенными привилегиями
BDU:2023-06074Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, выполнить произвольный код
BDU:2023-06071Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, полнить произвольный код
BDU:2019-03640Уязвимость средства автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker связана с ошибками управления генерацией кода при динамической загрузке библиотек. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
Открыть в каталоге с фильтром по вендору →