Docker corrige CVE-2026-34040: omisión de AuthZ permite saltar autorización y comprometer el host

-

Docker Engine ha corregido una vulnerabilidad de alta severidad, identificada como CVE-2026-34040, que permite eludir plugins de autorización (AuthZ) en determinadas condiciones. El fallo, relacionado con una corrección incompleta de CVE-2024-41110, podría facilitar la creación de contenedores privilegiados con acceso al sistema de archivos del host.


Docker ha publicado una actualización para corregir CVE-2026-34040, una vulnerabilidad crítica con puntuación CVSS 8.8 que afecta a Docker Engine y que puede permitir a un atacante saltarse plugins de autorización bajo ciertas circunstancias. El problema se originó por una corrección incompleta de CVE-2024-41110, una falla de máxima severidad divulgada en julio de 2024.

Según el aviso de los mantenedores de Docker Engine, un atacante puede enviar una solicitud API especialmente manipulada para lograr que el daemon reenvíe la petición al plugin de autorización sin el cuerpo del mensaje. Si el plugin basa sus decisiones de acceso en el contenido del cuerpo, puede terminar permitiendo una operación que habría bloqueado de haber recibido la solicitud completa.

La vulnerabilidad fue reportada de forma independiente por varios investigadores de seguridad, entre ellos Asim Viladi Oglu Manizada, Cody, Oleh Konko y Vladimir Tokarev. Docker indicó que el problema fue corregido en la versión 29.3.1.

De acuerdo con la investigación publicada por Cyera Research Labs, la falla proviene de que el parche anterior no manejó correctamente cuerpos HTTP sobredimensionados. En la práctica, esto abre la posibilidad de usar una única solicitud HTTP con relleno para crear un contenedor privilegiado con acceso al sistema de archivos del host.

En un escenario hipotético, un atacante con acceso a la API de Docker restringida por un plugin AuthZ podría evadir el control de seguridad al inflar la solicitud de creación de contenedor por encima de 1 MB. Esa petición se descartaría antes de llegar al plugin, que vería la operación sin contenido para evaluar y podría aprobarla. Mientras tanto, el daemon procesaría la solicitud completa y crearía un contenedor privilegiado con acceso a recursos sensibles del host, incluyendo credenciales de AWS, claves SSH y configuraciones de Kubernetes.

Cyera también advirtió que agentes de inteligencia artificial ejecutados dentro de un entorno aislado basado en Docker, como OpenClaw, podrían ser inducidos a ejecutar este bypass. En un flujo de trabajo normal, un repositorio GitHub especialmente preparado podría contener instrucciones de prompt injection que lleven al agente a ejecutar código malicioso y explotar CVE-2026-34040 para crear un contenedor privilegiado y montar el sistema de archivos del host.

Con ese nivel de acceso, un atacante podría extraer credenciales de servicios cloud, comprometer cuentas en la nube, tomar control de clústeres de Kubernetes e incluso acceder por SSH a servidores de producción.

La investigación añade que los agentes de IA podrían descubrir el bypass por sí mismos al intentar acceder a archivos como kubeconfig durante tareas legítimas de depuración. En ese caso, si encuentran errores relacionados con el plugin AuthZ, podrían construir una solicitud HTTP con relleno para activar la omisión sin necesidad de código de explotación específico, privilegios especiales ni herramientas adicionales.

Como mitigación temporal, se recomienda evitar el uso de plugins AuthZ que dependan de la inspección del cuerpo de la solicitud para tomar decisiones de seguridad, restringir el acceso a la API de Docker únicamente a partes confiables bajo el principio de mínimo privilegio y, cuando sea posible, ejecutar Docker en modo rootless. En entornos donde no sea viable ese modelo, la opción --userns-remap ofrece una asignación de UID similar para reducir el impacto potencial de una intrusión.

Fuente:
https://thehackernews.com/2026/04/docker-cve-2026-34040-lets-attackers.html

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más