CVE-2026-44848: Критична вразливість у Portainer дозволяє неадміністраторам виконувати привілейовані операції з плагінами Docker
Критична вразливість у Portainer дозволяє стандартним користувачам виконувати привілейовані операції з плагінами Docker. Оновіть Portainer для захисту контейнерної інфраструктури.
- CVSS
- 9.4 CRITICAL
- EPSS
- 24.71%
- Активно використовується
- немає в KEV
- Продукт
- portainer
Що відомо
У версіях Portainer Community Edition від 2.33.0 до 2.33.7, 2.39.0 до 2.39.1 та 2.40.х користувачі з роллю стандартного користувача, маючи доступ до Docker endpoint, могли виконувати операції з плагінами Docker без належних прав. Це дозволяло встановлювати та активувати плагіни без адміністративних повноважень.
Бізнес-вплив
Ця вразливість може призвести до несанкціонованого встановлення та активації плагінів у Docker середовищі через Portainer, що ставить під загрозу безпеку контейнерної інфраструктури. Для організацій, які використовують Portainer для управління контейнерами, це означає підвищений ризик компрометації системи та потенційних атак на інфраструктуру.
Рекомендовані дії адміністратора
Рекомендується оновити Portainer до версій 2.33.8, 2.39.2 або 2.41.0, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ користувачів з роллю стандартного користувача до Docker endpoint, переглянути політики RBAC та моніторити журнали доступу на предмет підозрілої активності.