Docker/containerd/Podman
Docker/containerd/Podman gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Docker/containerd/Podman kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
30 ReportsZeige 1 bis 30 von 30
-
Docker Desktop Community Edition – Privilege Escalation
CVE-2019-15752 Aktiv ausgenutztDocker Desktop Community Edition enthält eine Schwachstelle zur Privilegieneskalation. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 45.6 %.
EPSS: 45.60% Publiziert: Referenz: CISA KEV -
Gitea Docker Image: Identitätsübernahme durch REVERSE_PROXY_TRUSTED_PROXIES=*
CVE-2026-20896 KritischDas Docker-Image von Gitea verwendet bis einschliesslich Version 1.26.2 standardmässig die Einstellung REVERSE_PROXY_TRUSTED_PROXIES=*. Dadurch kann jede beliebige Quell-IP über Reverse-Proxy-Authentifizierungsheader die Identität eines Nutzers annehmen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: REVERSE_PROXY_TRUSTED_PROXIES auf die tatsächlich vertrauenswürdigen Proxy-Adressen einschränken.
CVSS: 9.8 EPSS: 0.78% Publiziert: Referenz: NVD -
Ruflo – MCP-Bridge im Docker-Compose-Standard ohne Authentifizierung exponiert
CVE-2026-59726 KritischRuflo ist ein Agent-Meta-Harness für Claude Code und Codex. In Versionen vor 3.16.3 exponiert das mitgelieferte Docker-Compose-Deployment die MCP-Bridge-Endpunkte POST /mcp und POST /mcp/:group ohne Authentifizierung. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Ruflo 3.16.3 oder neuer aktualisieren und den Netzwerkzugriff auf die MCP-Endpunkte einschränken.
CVSS: 10.0 EPSS: 0.44% Publiziert: Referenz: NVD -
Crawl4AI: Beliebiges Schreiben von Dateien über Docker-API (/screenshot, /pdf)
CVE-2026-56260 KritischCrawl4AI vor Version 0.8.7 enthält eine Schwachstelle, die das Schreiben beliebiger Dateien über die Endpunkte /screenshot und /pdf des Docker-API-Servers erlaubt. Der Parameter output_path akzeptiert dabei beliebige Dateisystempfade ohne Validierung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 0.8.7 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.42% Publiziert: Referenz: NVD -
containerd: CRI vertraut CDI-Annotationen aus nicht vertrauenswürdiger Quelle
CVE-2026-53492 Kritischcontainerd ist eine quelloffene Container-Runtime. In Versionen vor 2.3.2, 2.2.5 und 2.1.9 vertraut die CRI-Implementierung den Container-Device-Interface-Annotationen (CDI) unzulässigerweise, obwohl diese aus nicht vertrauenswürdiger Quelle stammen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf containerd 2.3.2, 2.2.5 bzw. 2.1.9 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.41% Publiziert: Referenz: NVD -
containerd – fehlende Validierung von Image-Referenzen beim CRI-Checkpoint-Import
CVE-2026-50195 Kritischcontainerd ist eine quelloffene Container-Laufzeitumgebung. In den Versionen vor 2.3.2, 2.2.5 und 2.1.9 validiert der CRI-Checkpoint-Import die angegebenen Image-Referenzen nicht. CVSS-Basiswert: 9.9 (Kritisch) – Angriff über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion, mit Scope-Wechsel und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf containerd 2.3.2, 2.2.5 bzw. 2.1.9 oder neuer aktualisieren.
CVSS: 9.9 EPSS: 0.35% Publiziert: Referenz: NVD -
OpenProject Docker-Image – Standard-Rails-Master-Key SECRET_KEY_BASE=OVERWRITE_ME
CVE-2026-46386 KritischOpenProject ist eine quelloffene, webbasierte Projektmanagement-Software. Das offizielle Docker-Image openproject/openproject lieferte ENV SECRET_KEY_BASE=OVERWRITE_ME als Standard-Rails-Master-Key aus, sodass Installationen ohne eigenen Schlüssel einen öffentlich bekannten Wert verwenden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: SECRET_KEY_BASE durch einen eigenen, geheimen Wert ersetzen und ein aktualisiertes Image verwenden.
CVSS: 9.9 EPSS: 0.27% Publiziert: Referenz: NVD -
Gitea act_runner – container.options wird ungeprüft an die Docker-HostConfig durchgereicht
CVE-2026-58053 KritischDer Gitea act_runner mit Docker-Backend (bis einschliesslich act 0.262.0) reicht die Zeichenkette container.options eines Workflows an die HostConfig des Docker-Job-Containers durch – auch dann, wenn privileged: false konfiguriert ist. Wer Workflows einstellen darf, kann darüber Container-Optionen setzen, die die vorgesehene Isolation unterlaufen. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – geringe Rechte genügen, mit Scope-Wechsel über den Container hinaus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. CI-Runner sollten nur Workflows aus vertrauenswürdigen Repositories ausführen und auf eine bereinigte act-Version gehoben werden.
CVSS: 9.9 EPSS: 0.27% Publiziert: Referenz: NVD -
openlabs docker-wkhtmltopdf-aas: OS Command Injection in app.py
CVE-2026-36576 KritischDie Komponente app.py von openlabs docker-wkhtmltopdf-aas enthält bis einschliesslich Commit 9f50579 eine OS-Command-Injection-Schwachstelle. Angreifende können über eine präparierte POST-Anfrage beliebige Befehle ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.26% Publiziert: Referenz: NVD -
netbox-docker – Standard-Anmeldedaten
CVE-2023-27573 Kritischnetbox-docker vor Version 2.5.0 enthält ein Superuser-Konto mit Standard-Anmeldedaten. Ein Angreifer könnte diese vordefinierten Zugangsdaten ausnutzen, um unautorisierten Zugriff zu erlangen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.0 EPSS: 0.07% Publiziert: Referenz: NVD -
Docker Model Runner – SSRF in OCI Registry Token Exchange
CVE-2026-33990 KritischDocker Model Runner (DMR) vor Version 1.1.25 enthält eine SSRF-Schwachstelle (Server-Side Request Forgery) im OCI-Registry-Token-Austausch. Ein Angreifer könnte diese Lücke ausnutzen, um interne Dienste anzusprechen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD -
sigstore-js: Fehlerhafte Auswahl von Docker-Registry-Zugangsdaten
CVE-2026-59891 Kritischsigstore-js stellt JavaScript-Bibliotheken für die Interaktion mit Sigstore-Diensten bereit. In Versionen vor 0.7.1 liest getRegistryCredentials() Zugangsdaten aus der Docker-Konfigurationsdatei und wählt einen Eintrag anhand einer fehlerhaften Prüfung aus, was zur Preisgabe von Zugangsdaten führen kann. CVSS-Basiswert: 9.6 (Kritisch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: auf sigstore-js 0.7.1 oder neuer aktualisieren.
CVSS: 9.6 Publiziert: Referenz: NVD -
Crawl4AI – Exfiltration von Zugangsdaten im Docker-API-Server
CVE-2026-56259 HochCrawl4AI enthält vor Version 0.8.8 im Docker-API-Server Schwachstellen zur Exfiltration von Zugangsdaten. Angreifer können LLM-API-Aufrufe auf von ihnen kontrollierte Endpunkte umleiten und beliebige Umgebungsvariablen auslesen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Crawl4AI 0.8.8 oder neuer aktualisieren.
CVSS: 8.2 EPSS: 0.27% Publiziert: Referenz: NVD -
Podman: Umgebungsvariable ohne Wert kann Host-Variablen an den Container weitergeben
CVE-2026-57231 HochIn Podman von 1.8.1 bis 5.8.4 kann ein Container-Image, das eine Umgebungsvariable mit nur einem Schlüssel und ohne Wert enthält, Podman dazu bringen, diese Variable aus der Host-Umgebung an den Container zu übergeben. Dadurch können sensible Informationen offengelegt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Podman-Version aktualisieren.
CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD -
containerd – fehlerhafte Auswertung numerischer User-Angaben
CVE-2026-46680 HochIn containerd vor den Versionen 1.7.32, 2.0.9, 2.2.4 und 2.3.1 werden Container mit einer numerischen User-Angabe, die sich nicht als 32-Bit-Ganzzahl parsen lässt, fehlerhaft behandelt. Dies kann dazu führen, dass ein Container mit unbeabsichtigten Berechtigungen läuft. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung auf containerd 1.7.32, 2.0.9, 2.2.4, 2.3.1 oder neuer.
CVSS: 7.8 EPSS: 0.22% Publiziert: Referenz: NVD -
Dokploy: Command Injection über docker logout
CVE-2026-45662 HochIn Dokploy 0.29.0 und früher führt die Funktion deleteRegistry einen docker-logout-Befehl mit nicht bereinigtem Benutzereingabe-Parameter aus, was eine Command Injection ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.8 EPSS: 0.21% Publiziert: Referenz: NVD -
containerd: CRI-Plugin propagiert Image-Config-Labels
CVE-2026-53488 Hochcontainerd ist eine quelloffene Container-Laufzeitumgebung. In Versionen vor 1.7.33, 2.3.2, 2.2.5, 2.1.9 und 2.0.10 propagiert das CRI-Plugin laut Quelle Labels aus der Image-Konfiguration (LABEL-Anweisung im Dockerfile). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine der fehlerbereinigten containerd-Versionen aktualisieren.
CVSS: 8.8 EPSS: 0.20% Publiziert: Referenz: NVD -
Lima: Unautorisierter Zugriff im QEMU-Treiber-Betrieb
CVE-2026-53657 HochLima startet Linux-virtuelle-Maschinen (typischerweise auf macOS) zum Ausführen von containerd. Vor Version 2.1.3 konnte auf einer mit dem QEMU-Treiber laufenden Lima-Instanz ein beliebiger Benutzer in der VM auf einen /run/lima-Pfad zugreifen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung auf Lima 2.1.3 oder neuer.
CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD -
Docker Engine / Moby: Race Condition während des Betriebs
CVE-2026-42306 HochMoby ist ein quelloffenes Container-Framework. In Docker Engine vor Version 29.5.1, Docker Daemon 28.5.2 und früher sowie Moby Daemon vor 2.0.0-beta.14 besteht eine Race Condition. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Version aktualisieren.
CVSS: 7.2 EPSS: 0.10% Publiziert: Referenz: NVD -
Podman Desktop: Unauthenticated Remote Code Execution
CVE-2026-34045 HochIn Podman Desktop vor Version 1.26.2 ermöglicht ein nicht authentifizierter HTTP-Server im Netzwerk einem Angreifer, remote Aktionen auszulösen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.2 EPSS: 0.08% Publiziert: Referenz: NVD -
Docker CLI für Windows – Schadcode durch fehlenden Plugin-Pfad
CVE-2025-15558 HochDocker CLI für Windows sucht Plugin-Binärdateien im Verzeichnis C:\ProgramData\Docker\cli-plugins, das standardmässig nicht existiert. Ein Angreifer mit niedrigen Rechten kann dieses Verzeichnis anlegen und schädliche Dateien einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.0 EPSS: 0.02% Publiziert: Referenz: NVD -
Docker Desktop: ECI-Bypass über --use-api-socket
CVE-2026-6406 HochDas Docker-CLI-Flag --use-api-socket umgeht die Enhanced Container Isolation (ECI) in Docker Desktop. Wenn ECI aktiviert ist, werden Docker-Socket-Mounts aus Containern normalerweise unterbunden; dieses Flag hebt diese Beschränkung auf und ermöglicht so einen Sicherheitsmechanismus-Bypass. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Docker Desktop – Out-of-Bounds Read im grpcfuse-Kernelmodul
CVE-2026-2664 HochEine Out-of-Bounds-Read-Schwachstelle im grpcfuse-Kernelmodul der Linux-VM von Docker Desktop für Windows, Linux und macOS bis Version 4.61.0 könnte einem lokalen Angreifer ermöglichen, einen unbeabsichtigten Systemzustand herbeizuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Podman – Command Injection im HyperV-Backend
CVE-2026-33414 HochPodman in den Versionen 4.8.0 bis 5.8.1 enthält eine Command-Injection-Schwachstelle im HyperV-Maschinen-Backend. Ein Angreifer könnte diese ausnutzen, um beliebige Befehle auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Docker Model Runner (macOS): trust_remote_code=True bei vllm-metal
CVE-2026-5817 HochDas vllm-metal-Inferenz-Backend in Docker Model Runner auf macOS setzt beim Laden von Modell-Tokenizern bedingungslos trust_remote_code=True und läuft ohne Sandboxing. Dies erlaubt das Ausführen von beliebigem Code aus Modell-Repositorys. CVSS-Basiswert: 8.2 (Hoch).
CVSS: 8.2 EPSS: 0.01% Publiziert: Referenz: NVD -
Docker Model Runner (macOS): Arbitrary Code Execution via MLX-LM
CVE-2026-5843 HochDas MLX-Inferenz-Backend in Docker Model Runner auf macOS verwendet die MLX-LM-Bibliothek, die über die model_file-Konfiguration bedingungslos beliebige Python-Dateien aus Modell-Verzeichnissen importiert und ausführt. Dies ermöglicht die Ausführung von beliebigem Code beim Laden eines präparierten Modells. CVSS-Basiswert: 8.2 (Hoch).
CVSS: 8.2 EPSS: 0.01% Publiziert: Referenz: NVD -
containerd: Denial of Service durch bösartig präpariertes Container-Image
CVE-2026-47262 Mittelcontainerd ist eine quelloffene Container-Laufzeitumgebung. In Versionen vor 1.7.33, 2.0.10, 2.1.9, 2.2.5 und 2.3.2 kann ein bösartig präpariertes Image einen Denial of Service verursachen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf containerd 1.7.33, 2.0.10, 2.1.9, 2.2.5, 2.3.2 oder neuer aktualisieren.
CVSS: 5.5 EPSS: 0.32% Publiziert: Referenz: NVD -
Podman – Symlink im WORKDIR ermöglicht unbefugte Verzeichnis-/Besitzänderung
CVE-2026-55686 MittelIn Podman (von Version 3.0.0 bis vor 5.7.1) kann das Ausführen eines bösartigen Container-Images, dessen WORKDIR-Pfad einen Symlink enthält, ein Verzeichnis anlegen oder Besitzverhältnisse verändern. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.3 EPSS: 0.32% Publiziert: Referenz: NVD -
containerd: Symlink-Prüfung fehlt beim Wiederherstellen aus Checkpoint-Images
CVE-2026-53489 Mittelcontainerd stellt in Versionen vor 2.3.2, 2.2.5 und 2.1.9 im CRI-Plugin die Datei container.log aus einem Checkpoint-Image wieder her, ohne einen symbolischen Link zu validieren. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf containerd 2.3.2, 2.2.5 bzw. 2.1.9 oder neuer aktualisieren.
CVSS: 6.5 EPSS: 0.21% Publiziert: Referenz: NVD -
Docker Engine / Moby – Race Condition im Daemon
CVE-2026-41568 MittelIn Moby bzw. der Docker Engine kann eine Race-Condition auftreten. Betroffen sind Docker Engine vor Version 29.5.1, Docker Daemon 28.5.2 und älter sowie Moby Daemon vor 2.0.0-beta.14. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.1 EPSS: 0.11% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Docker/containerd/Podman, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.