प्लेटफ़ॉर्म
go
घटक
github.com/docker/model-runner
में ठीक किया गया
1.1.26
1.1.25
CVE-2026-33990 Docker Model Runner में एक गंभीर सर्वर-साइड रिक्वेस्ट फोरी (SSRF) भेद्यता है। इस भेद्यता का शोषण करके, एक हमलावर आंतरिक सेवाओं तक अनधिकृत पहुँच प्राप्त कर सकता है और संवेदनशील डेटा तक पहुँच सकता है। यह भेद्यता Docker Model Runner के 1.1.25 से पहले के संस्करणों को प्रभावित करती है। 30 मार्च 2026 को प्रकाशित, इस समस्या को हल करने के लिए 1.1.25 में अपग्रेड करने की अनुशंसा की जाती है।
यह SSRF भेद्यता Docker Model Runner को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है, जिन्हें सामान्य रूप से बाहरी दुनिया से दुर्गम माना जाता है। एक हमलावर एक दुर्भावनापूर्ण OCI रजिस्ट्री का उपयोग करके, Model Runner को आंतरिक URL पर अनुरोध करने के लिए प्रेरित कर सकता है, जैसे कि http://127.0.0.1:3000/। Model Runner तब आंतरिक सेवा से प्रतिक्रिया को वापस कॉलर को प्रतिबिंबित करेगा, संभावित रूप से संवेदनशील जानकारी उजागर करेगा। यह भेद्यता डेटा उल्लंघनों, अनधिकृत पहुँच और संभावित रूप से सिस्टम नियंत्रण के लिए शोषण की जा सकती है। इस भेद्यता का प्रभाव विशेष रूप से महत्वपूर्ण है यदि Model Runner आंतरिक नेटवर्क में महत्वपूर्ण सेवाओं के साथ इंटरैक्ट करता है।
CVE-2026-33990 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन SSRF भेद्यताएँ अक्सर शोषण योग्य होती हैं। यह भेद्यता CISA KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, एक PoC का विकास संभव है। NVD और CISA की वेबसाइटों पर नवीनतम जानकारी की निगरानी करना महत्वपूर्ण है।
Organizations utilizing Docker Model Runner for model deployment and inference are at risk, particularly those with internal services accessible via HTTP. Shared hosting environments where multiple users share the same Model Runner instance are also at increased risk, as a compromised registry used by one user could potentially impact others.
• linux / server:
journalctl -u model-runner | grep -i "realm URL"• go / supply-chain: Inspect the Model Runner source code for the realm URL handling logic. Look for missing validation of the scheme, hostname, or IP range. • generic web: Monitor outbound HTTP requests from the Model Runner process using network monitoring tools. Look for connections to unexpected internal IP addresses or hostnames.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CVE-2026-33990 को कम करने के लिए, Docker Model Runner को संस्करण 1.1.25 में अपग्रेड करना आवश्यक है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके Model Runner द्वारा किए गए बाहरी अनुरोधों को सीमित कर सकते हैं। यह सुनिश्चित करें कि केवल विश्वसनीय OCI रजिस्ट्री का उपयोग किया जा रहा है। इसके अतिरिक्त, आंतरिक सेवाओं तक पहुँच को सीमित करने के लिए नेटवर्क नीतियों को लागू करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक सेवाओं तक अनधिकृत पहुँच के लिए लॉग की निगरानी करके।
Actualice Docker Model Runner a la versión 1.1.25 o posterior. Para usuarios de Docker Desktop, habilite Enhanced Container Isolation (ECI) para bloquear el acceso del contenedor a Model Runner. Si Docker Model Runner está expuesto a localhost sobre TCP, asegúrese de que esté configurado de forma segura o no esté expuesto.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33990 Docker Model Runner में एक SSRF भेद्यता है जो हमलावरों को आंतरिक सेवाओं तक पहुँचने की अनुमति देती है। यह 1.1.25 से पहले के संस्करणों को प्रभावित करता है।
यदि आप Docker Model Runner के संस्करण 1.1.25 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33990 को ठीक करने के लिए, Docker Model Runner को संस्करण 1.1.25 में अपग्रेड करें।
CVE-2026-33990 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण की संभावना है।
कृपया Docker सुरक्षा सलाहकार के लिए Docker की वेबसाइट देखें: [https://security.docker.com/](https://security.docker.com/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।