Plateforme
docker
Composant
docker
Corrigé dans
1.1.1
La vulnérabilité CVE-2026-39848 affecte Dockyard, une application de gestion de conteneurs Docker. Avant la version 1.1.0, les opérations de démarrage et d'arrêt des conteneurs Docker sont effectuées via des requêtes GET sans protection CSRF. Cette faille permet à un attaquant distant de provoquer l'exécution de requêtes malveillantes via le navigateur d'un administrateur connecté, lui permettant de contrôler les conteneurs. La correction est disponible dans la version 1.1.0.
Un attaquant peut exploiter cette vulnérabilité CSRF pour lancer ou arrêter des conteneurs Docker sans l'autorisation de l'administrateur. Cela peut entraîner une perturbation du service, une perte de données ou une compromission de l'environnement Docker. L'attaquant doit être capable d'inciter l'administrateur à visiter une page web malveillante contenant les requêtes CSRF. La portée de l'impact dépend des privilèges accordés aux conteneurs Docker et de la sensibilité des données qu'ils contiennent. Une exploitation réussie pourrait permettre à un attaquant de prendre le contrôle de l'infrastructure Docker.
Cette vulnérabilité a été divulguée publiquement le 9 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction avec l'administrateur et de la complexité de la création d'une attaque CSRF réussie. Cette vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations utilizing Dockyard for Docker container management, particularly those with administrator accounts accessible via web interfaces, are at risk. Shared hosting environments where multiple users share a Dockyard instance are especially vulnerable, as an attacker could potentially compromise the accounts of other users.
• docker / container:
ps aux | grep dockyard• generic web:
curl -I http://<dockyard_url>/apps/action.php?action=start&name=<container> | grep -i '200 ok'• generic web:
curl -I http://<dockyard_url>/apps/action.php?action=stop&name=<container> | grep -i '200 ok'disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Dockyard vers la version 1.1.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection CSRF supplémentaires, telles que la validation des tokens CSRF sur toutes les requêtes sensibles. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Après la mise à jour, vérifiez que les opérations de conteneurs nécessitent une authentification forte et qu'il n'y a pas d'accès direct aux requêtes sensibles.
Mettez à jour Dockyard à la version 1.1.0 ou supérieure pour atténuer la vulnérabilité. Cette version implémente des protections CSRF pour les opérations de démarrage et d'arrêt des conteneurs, empêchant l'exécution non autorisée de ces actions par des attaquants.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39848 est une vulnérabilité CSRF dans Dockyard, une application de gestion de conteneurs Docker, affectant les versions antérieures à 1.1.0. Un attaquant peut exploiter cette faille pour lancer ou arrêter des conteneurs Docker.
Vous êtes affecté si vous utilisez Dockyard dans une version antérieure à 1.1.0. Mettez à jour vers la dernière version pour corriger cette vulnérabilité.
La solution consiste à mettre à jour Dockyard vers la version 1.1.0 ou supérieure. En attendant, mettez en place des mesures de protection CSRF supplémentaires.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-39848.
Consultez le site web de Dockyard ou les canaux de communication officiels pour obtenir l'avis officiel concernant CVE-2026-39848.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Dockerfile et nous te dirons instantanément si tu es affecté.