Уязвимость выполнения произвольной команды в Docker Desktop через специальный URL "docker-desktop://"
Описание
Уязвимость в Docker Desktop позволяет злоумышленнику выполнить произвольную команду внутри контейнера Dev Environments во время его инициализации. Для этого необходимо обманом заставить пользователя открыть специально подготовленный вредоносный URL вида docker-desktop://.
Затронутые версии ПО
- Docker Desktop версии до 4.17.0
Тип уязвимости
Выполнение произвольных команд
Ссылки
- Release Notes
- Release Notes
Уязвимые конфигурации
EPSS
6.1 Medium
CVSS3
7.8 High
CVSS3
Дефекты
Связанные уязвимости
Docker Desktop before 4.17.0 allows an attacker to execute an arbitrary command inside a Dev Environments container during initialization by tricking an user to open a crafted malicious docker-desktop:// URL.
Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю выполнить произвольный код
EPSS
6.1 Medium
CVSS3
7.8 High
CVSS3