CVE-2026-44850: luka bezpieczeństwa w Portainer umożliwiająca obejście ograniczeń montowania
Wysokie ryzyko w Portainer (CVE-2026-44850) pozwala na nieautoryzowane montowanie ścieżek hosta w kontenerach. Zalecana szybka aktualizacja.
- CVSS
- 8.5 HIGH
- EPSS
- 10.7%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- portainer
Co wiadomo
Portainer Community Edition w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 oraz 2.41.0 posiada lukę pozwalającą uwierzytelnionym użytkownikom na montowanie dowolnych ścieżek hosta w kontenerach, mimo włączonego ograniczenia blokującego takie działania dla użytkowników niebędących administratorami. Problem wynika z niepełnej weryfikacji parametrów montowania w API Docker.
Wpływ biznesowy
Luka ta może prowadzić do nieautoryzowanego dostępu do plików i zasobów systemu hosta poprzez kontenery, co stwarza poważne ryzyko naruszenia integralności i poufności danych. Operatorzy środowisk kontenerowych korzystający z Portainer powinni traktować tę podatność jako wysokiego ryzyka, zwłaszcza w środowiskach z wieloma użytkownikami o ograniczonych uprawnieniach.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Portainer do wersji 2.33.8, 2.39.2 lub 2.41.0, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć uprawnienia użytkowników do tworzenia kontenerów oraz monitorować logi pod kątem nietypowych działań związanych z montowaniem ścieżek hosta. Przegląd i weryfikacja konfiguracji zabezpieczeń środowiska Docker jest również wskazana.