Docker
開源容器平臺專案Docker近日發布安全公告,修補AuthZ授權外掛程式(authorization plugin)的重大漏洞CVE-2026-34040,建議用戶盡速修補。
這次修補的漏洞CVE-2026-34040,CVSS嚴重性評分達8.8,問題出在AuthZ授權外掛程式處理機制的設計缺陷,攻擊者可透過特製的API請求,導致授權外掛無法正確檢查操作內容,允許原本應被拒絕的請求通過,進而可能導致未經授權的容器操作,會影響29.3以前的Docker Engine版本,解決方法是更新到29.3.1以後版本,若用戶未使用AuthZ外掛程式則不受影響。
前述漏洞是資安公司Cyera研究人員發現,並於2026年3月通報,Cyera在其近日發布的報告指出,這個漏洞最早是在2018年發現,並於2019年修補,但修補程式碼卻並未延續到後續版本,後來在2024年才發現此一問題,並在2024年7月揭露的CVSS滿分重大漏洞CVE-2024-41110中予以修補,但修補不完全。這次揭露的CVE-2026-34040漏洞與先前漏洞為同一類型,不過邊界長度不同,2024年的漏洞為零長度的請求體(zero-length request body),而新發現的漏洞則為大小超過1MB的API請求體(request body)即可觸發。
