1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Docker/containerd/Podman

Server-Software, Middleware, Web

Docker/containerd/Podman gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Docker/containerd/Podman kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

30
Reports
1
Aktiv ausgenutzt
Kritisch
Höchste Priorität
45.6%
Max. EPSS

Schwachstellen-Reports

30 Reports

Zeige 1 bis 30 von 30

  1. Docker Desktop Community Edition – Privilege Escalation

    CVE-2019-15752 Aktiv ausgenutzt

    Docker Desktop Community Edition enthält eine Schwachstelle zur Privilegieneskalation. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 45.6 %.

    EPSS: 45.60% Publiziert: Referenz: CISA KEV
  2. Gitea Docker Image: Identitätsübernahme durch REVERSE_PROXY_TRUSTED_PROXIES=*

    CVE-2026-20896 Kritisch

    Das Docker-Image von Gitea verwendet bis einschliesslich Version 1.26.2 standardmässig die Einstellung REVERSE_PROXY_TRUSTED_PROXIES=*. Dadurch kann jede beliebige Quell-IP über Reverse-Proxy-Authentifizierungsheader die Identität eines Nutzers annehmen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: REVERSE_PROXY_TRUSTED_PROXIES auf die tatsächlich vertrauenswürdigen Proxy-Adressen einschränken.

    CVSS: 9.8 EPSS: 0.78% Publiziert: Referenz: NVD
  3. Ruflo – MCP-Bridge im Docker-Compose-Standard ohne Authentifizierung exponiert

    CVE-2026-59726 Kritisch

    Ruflo ist ein Agent-Meta-Harness für Claude Code und Codex. In Versionen vor 3.16.3 exponiert das mitgelieferte Docker-Compose-Deployment die MCP-Bridge-Endpunkte POST /mcp und POST /mcp/:group ohne Authentifizierung. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Ruflo 3.16.3 oder neuer aktualisieren und den Netzwerkzugriff auf die MCP-Endpunkte einschränken.

    CVSS: 10.0 EPSS: 0.44% Publiziert: Referenz: NVD
  4. Crawl4AI: Beliebiges Schreiben von Dateien über Docker-API (/screenshot, /pdf)

    CVE-2026-56260 Kritisch

    Crawl4AI vor Version 0.8.7 enthält eine Schwachstelle, die das Schreiben beliebiger Dateien über die Endpunkte /screenshot und /pdf des Docker-API-Servers erlaubt. Der Parameter output_path akzeptiert dabei beliebige Dateisystempfade ohne Validierung. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 0.8.7 oder neuer aktualisieren.

    CVSS: 9.1 EPSS: 0.42% Publiziert: Referenz: NVD
  5. containerd: CRI vertraut CDI-Annotationen aus nicht vertrauenswürdiger Quelle

    CVE-2026-53492 Kritisch

    containerd ist eine quelloffene Container-Runtime. In Versionen vor 2.3.2, 2.2.5 und 2.1.9 vertraut die CRI-Implementierung den Container-Device-Interface-Annotationen (CDI) unzulässigerweise, obwohl diese aus nicht vertrauenswürdiger Quelle stammen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf containerd 2.3.2, 2.2.5 bzw. 2.1.9 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.41% Publiziert: Referenz: NVD
  6. containerd – fehlende Validierung von Image-Referenzen beim CRI-Checkpoint-Import

    CVE-2026-50195 Kritisch

    containerd ist eine quelloffene Container-Laufzeitumgebung. In den Versionen vor 2.3.2, 2.2.5 und 2.1.9 validiert der CRI-Checkpoint-Import die angegebenen Image-Referenzen nicht. CVSS-Basiswert: 9.9 (Kritisch) – Angriff über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion, mit Scope-Wechsel und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf containerd 2.3.2, 2.2.5 bzw. 2.1.9 oder neuer aktualisieren.

    CVSS: 9.9 EPSS: 0.35% Publiziert: Referenz: NVD
  7. OpenProject Docker-Image – Standard-Rails-Master-Key SECRET_KEY_BASE=OVERWRITE_ME

    CVE-2026-46386 Kritisch

    OpenProject ist eine quelloffene, webbasierte Projektmanagement-Software. Das offizielle Docker-Image openproject/openproject lieferte ENV SECRET_KEY_BASE=OVERWRITE_ME als Standard-Rails-Master-Key aus, sodass Installationen ohne eigenen Schlüssel einen öffentlich bekannten Wert verwenden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: SECRET_KEY_BASE durch einen eigenen, geheimen Wert ersetzen und ein aktualisiertes Image verwenden.

    CVSS: 9.9 EPSS: 0.27% Publiziert: Referenz: NVD
  8. Gitea act_runner – container.options wird ungeprüft an die Docker-HostConfig durchgereicht

    CVE-2026-58053 Kritisch

    Der Gitea act_runner mit Docker-Backend (bis einschliesslich act 0.262.0) reicht die Zeichenkette container.options eines Workflows an die HostConfig des Docker-Job-Containers durch – auch dann, wenn privileged: false konfiguriert ist. Wer Workflows einstellen darf, kann darüber Container-Optionen setzen, die die vorgesehene Isolation unterlaufen. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – geringe Rechte genügen, mit Scope-Wechsel über den Container hinaus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. CI-Runner sollten nur Workflows aus vertrauenswürdigen Repositories ausführen und auf eine bereinigte act-Version gehoben werden.

    CVSS: 9.9 EPSS: 0.27% Publiziert: Referenz: NVD
  9. openlabs docker-wkhtmltopdf-aas: OS Command Injection in app.py

    CVE-2026-36576 Kritisch

    Die Komponente app.py von openlabs docker-wkhtmltopdf-aas enthält bis einschliesslich Commit 9f50579 eine OS-Command-Injection-Schwachstelle. Angreifende können über eine präparierte POST-Anfrage beliebige Befehle ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.8 EPSS: 0.26% Publiziert: Referenz: NVD
  10. netbox-docker – Standard-Anmeldedaten

    CVE-2023-27573 Kritisch

    netbox-docker vor Version 2.5.0 enthält ein Superuser-Konto mit Standard-Anmeldedaten. Ein Angreifer könnte diese vordefinierten Zugangsdaten ausnutzen, um unautorisierten Zugriff zu erlangen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.0 EPSS: 0.07% Publiziert: Referenz: NVD
  11. Docker Model Runner – SSRF in OCI Registry Token Exchange

    CVE-2026-33990 Kritisch

    Docker Model Runner (DMR) vor Version 1.1.25 enthält eine SSRF-Schwachstelle (Server-Side Request Forgery) im OCI-Registry-Token-Austausch. Ein Angreifer könnte diese Lücke ausnutzen, um interne Dienste anzusprechen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD
  12. sigstore-js: Fehlerhafte Auswahl von Docker-Registry-Zugangsdaten

    CVE-2026-59891 Kritisch

    sigstore-js stellt JavaScript-Bibliotheken für die Interaktion mit Sigstore-Diensten bereit. In Versionen vor 0.7.1 liest getRegistryCredentials() Zugangsdaten aus der Docker-Konfigurationsdatei und wählt einen Eintrag anhand einer fehlerhaften Prüfung aus, was zur Preisgabe von Zugangsdaten führen kann. CVSS-Basiswert: 9.6 (Kritisch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: auf sigstore-js 0.7.1 oder neuer aktualisieren.

    CVSS: 9.6 Publiziert: Referenz: NVD
  13. Crawl4AI – Exfiltration von Zugangsdaten im Docker-API-Server

    CVE-2026-56259 Hoch

    Crawl4AI enthält vor Version 0.8.8 im Docker-API-Server Schwachstellen zur Exfiltration von Zugangsdaten. Angreifer können LLM-API-Aufrufe auf von ihnen kontrollierte Endpunkte umleiten und beliebige Umgebungsvariablen auslesen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Crawl4AI 0.8.8 oder neuer aktualisieren.

    CVSS: 8.2 EPSS: 0.27% Publiziert: Referenz: NVD
  14. Podman: Umgebungsvariable ohne Wert kann Host-Variablen an den Container weitergeben

    CVE-2026-57231 Hoch

    In Podman von 1.8.1 bis 5.8.4 kann ein Container-Image, das eine Umgebungsvariable mit nur einem Schlüssel und ohne Wert enthält, Podman dazu bringen, diese Variable aus der Host-Umgebung an den Container zu übergeben. Dadurch können sensible Informationen offengelegt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Podman-Version aktualisieren.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  15. containerd – fehlerhafte Auswertung numerischer User-Angaben

    CVE-2026-46680 Hoch

    In containerd vor den Versionen 1.7.32, 2.0.9, 2.2.4 und 2.3.1 werden Container mit einer numerischen User-Angabe, die sich nicht als 32-Bit-Ganzzahl parsen lässt, fehlerhaft behandelt. Dies kann dazu führen, dass ein Container mit unbeabsichtigten Berechtigungen läuft. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung auf containerd 1.7.32, 2.0.9, 2.2.4, 2.3.1 oder neuer.

    CVSS: 7.8 EPSS: 0.22% Publiziert: Referenz: NVD
  16. Dokploy: Command Injection über docker logout

    CVE-2026-45662 Hoch

    In Dokploy 0.29.0 und früher führt die Funktion deleteRegistry einen docker-logout-Befehl mit nicht bereinigtem Benutzereingabe-Parameter aus, was eine Command Injection ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.8 EPSS: 0.21% Publiziert: Referenz: NVD
  17. containerd: CRI-Plugin propagiert Image-Config-Labels

    CVE-2026-53488 Hoch

    containerd ist eine quelloffene Container-Laufzeitumgebung. In Versionen vor 1.7.33, 2.3.2, 2.2.5, 2.1.9 und 2.0.10 propagiert das CRI-Plugin laut Quelle Labels aus der Image-Konfiguration (LABEL-Anweisung im Dockerfile). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine der fehlerbereinigten containerd-Versionen aktualisieren.

    CVSS: 8.8 EPSS: 0.20% Publiziert: Referenz: NVD
  18. Lima: Unautorisierter Zugriff im QEMU-Treiber-Betrieb

    CVE-2026-53657 Hoch

    Lima startet Linux-virtuelle-Maschinen (typischerweise auf macOS) zum Ausführen von containerd. Vor Version 2.1.3 konnte auf einer mit dem QEMU-Treiber laufenden Lima-Instanz ein beliebiger Benutzer in der VM auf einen /run/lima-Pfad zugreifen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung auf Lima 2.1.3 oder neuer.

    CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD
  19. Docker Engine / Moby: Race Condition während des Betriebs

    CVE-2026-42306 Hoch

    Moby ist ein quelloffenes Container-Framework. In Docker Engine vor Version 29.5.1, Docker Daemon 28.5.2 und früher sowie Moby Daemon vor 2.0.0-beta.14 besteht eine Race Condition. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.10% Publiziert: Referenz: NVD
  20. Podman Desktop: Unauthenticated Remote Code Execution

    CVE-2026-34045 Hoch

    In Podman Desktop vor Version 1.26.2 ermöglicht ein nicht authentifizierter HTTP-Server im Netzwerk einem Angreifer, remote Aktionen auszulösen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.08% Publiziert: Referenz: NVD
  21. Docker CLI für Windows – Schadcode durch fehlenden Plugin-Pfad

    CVE-2025-15558 Hoch

    Docker CLI für Windows sucht Plugin-Binärdateien im Verzeichnis C:\ProgramData\Docker\cli-plugins, das standardmässig nicht existiert. Ein Angreifer mit niedrigen Rechten kann dieses Verzeichnis anlegen und schädliche Dateien einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.0 EPSS: 0.02% Publiziert: Referenz: NVD
  22. Docker Desktop: ECI-Bypass über --use-api-socket

    CVE-2026-6406 Hoch

    Das Docker-CLI-Flag --use-api-socket umgeht die Enhanced Container Isolation (ECI) in Docker Desktop. Wenn ECI aktiviert ist, werden Docker-Socket-Mounts aus Containern normalerweise unterbunden; dieses Flag hebt diese Beschränkung auf und ermöglicht so einen Sicherheitsmechanismus-Bypass. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  23. Docker Desktop – Out-of-Bounds Read im grpcfuse-Kernelmodul

    CVE-2026-2664 Hoch

    Eine Out-of-Bounds-Read-Schwachstelle im grpcfuse-Kernelmodul der Linux-VM von Docker Desktop für Windows, Linux und macOS bis Version 4.61.0 könnte einem lokalen Angreifer ermöglichen, einen unbeabsichtigten Systemzustand herbeizuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD
  24. Podman – Command Injection im HyperV-Backend

    CVE-2026-33414 Hoch

    Podman in den Versionen 4.8.0 bis 5.8.1 enthält eine Command-Injection-Schwachstelle im HyperV-Maschinen-Backend. Ein Angreifer könnte diese ausnutzen, um beliebige Befehle auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD
  25. Docker Model Runner (macOS): trust_remote_code=True bei vllm-metal

    CVE-2026-5817 Hoch

    Das vllm-metal-Inferenz-Backend in Docker Model Runner auf macOS setzt beim Laden von Modell-Tokenizern bedingungslos trust_remote_code=True und läuft ohne Sandboxing. Dies erlaubt das Ausführen von beliebigem Code aus Modell-Repositorys. CVSS-Basiswert: 8.2 (Hoch).

    CVSS: 8.2 EPSS: 0.01% Publiziert: Referenz: NVD
  26. Docker Model Runner (macOS): Arbitrary Code Execution via MLX-LM

    CVE-2026-5843 Hoch

    Das MLX-Inferenz-Backend in Docker Model Runner auf macOS verwendet die MLX-LM-Bibliothek, die über die model_file-Konfiguration bedingungslos beliebige Python-Dateien aus Modell-Verzeichnissen importiert und ausführt. Dies ermöglicht die Ausführung von beliebigem Code beim Laden eines präparierten Modells. CVSS-Basiswert: 8.2 (Hoch).

    CVSS: 8.2 EPSS: 0.01% Publiziert: Referenz: NVD
  27. containerd: Denial of Service durch bösartig präpariertes Container-Image

    CVE-2026-47262 Mittel

    containerd ist eine quelloffene Container-Laufzeitumgebung. In Versionen vor 1.7.33, 2.0.10, 2.1.9, 2.2.5 und 2.3.2 kann ein bösartig präpariertes Image einen Denial of Service verursachen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf containerd 1.7.33, 2.0.10, 2.1.9, 2.2.5, 2.3.2 oder neuer aktualisieren.

    CVSS: 5.5 EPSS: 0.32% Publiziert: Referenz: NVD
  28. Podman – Symlink im WORKDIR ermöglicht unbefugte Verzeichnis-/Besitzänderung

    CVE-2026-55686 Mittel

    In Podman (von Version 3.0.0 bis vor 5.7.1) kann das Ausführen eines bösartigen Container-Images, dessen WORKDIR-Pfad einen Symlink enthält, ein Verzeichnis anlegen oder Besitzverhältnisse verändern. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.3 EPSS: 0.32% Publiziert: Referenz: NVD
  29. containerd: Symlink-Prüfung fehlt beim Wiederherstellen aus Checkpoint-Images

    CVE-2026-53489 Mittel

    containerd stellt in Versionen vor 2.3.2, 2.2.5 und 2.1.9 im CRI-Plugin die Datei container.log aus einem Checkpoint-Image wieder her, ohne einen symbolischen Link zu validieren. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf containerd 2.3.2, 2.2.5 bzw. 2.1.9 oder neuer aktualisieren.

    CVSS: 6.5 EPSS: 0.21% Publiziert: Referenz: NVD
  30. Docker Engine / Moby – Race Condition im Daemon

    CVE-2026-41568 Mittel

    In Moby bzw. der Docker Engine kann eine Race-Condition auftreten. Betroffen sind Docker Engine vor Version 29.5.1, Docker Daemon 28.5.2 und älter sowie Moby Daemon vor 2.0.0-beta.14. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.1 EPSS: 0.11% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Docker/containerd/Podman, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog