Podman Desktop WebView Server が公開される
プラットフォーム
docker
コンポーネント
podman-desktop
修正版
1.26.3
Podman Desktopは、コンテナとKubernetesでの開発を容易にするグラフィカルツールです。バージョン1.26.2より前のPodman Desktopには、認証なしのHTTPサーバーが公開されており、ネットワーク上の攻撃者がリモートでDoS攻撃を引き起こしたり、機密情報を抽出したりする可能性があります。接続制限とタイムアウトの欠如を悪用することで、ファイル記述子やカーネルメモリを枯渇させ、アプリケーションのクラッシュやホストの完全なフリーズにつながる可能性があります。また、詳細なエラー応答は、内部パスやシステムの詳細(Windows上のユーザー名を含む)を明らかにし、さらなる悪用を助長します。バージョン1.26.2で修正されています。
このCVEがあなたのプロジェクトに影響するか確認
Dockerfile ファイルをアップロードすると、影響の有無を即座にお知らせします。
影響と攻撃シナリオ
CVE-2026-34045は、Podman Desktopの1.26.2より前のバージョンに影響します。この脆弱性は、アプリケーションによって公開されている認証されていないHTTPサーバーに存在します。ネットワーク上の攻撃者は、接続制限とタイムアウトの欠如を利用して、ファイル記述子とカーネルメモリを枯渇させ、アプリケーションのクラッシュやホストシステムの完全なフリーズにつながる可能性があります。さらに、詳細なエラー応答は、内部パスとシステム情報を公開する可能性があり、開発環境のセキュリティを損なう可能性があります。この脆弱性の重大度は、CVSSスケールで8.2と評価されており、重大なリスクを示しています。
悪用の状況
Podman Desktopを実行しているシステムへのネットワークアクセス権を持つ攻撃者は、この脆弱性を悪用できます。認証は不要であり、悪用が比較的容易になります。攻撃者はHTTPサーバーに大量のリクエストを送信し、システムリソースを枯渇させてサービス拒否を引き起こす可能性があります。詳細なエラー応答を介して機密情報が公開されると、攻撃者はさらなる攻撃のために貴重な洞察を得られる可能性があります。この脆弱性は、Podman DesktopがコンテナとKubernetesの管理に使用される開発環境で特に懸念されます。
リスク対象者翻訳中…
Developers using Podman Desktop for container and Kubernetes development are at risk, particularly those with Podman Desktop exposed to untrusted networks or those running Podman Desktop on shared hosting environments. Users with legacy Podman Desktop installations are also vulnerable.
検出手順翻訳中…
• linux / server:
ps aux | grep podman-desktop
journalctl -u podman-desktop -f• generic web:
curl -I http://localhost:8080/health攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 低 — 一部データへの部分的アクセス。
- Integrity
- なし — 完全性への影響なし。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
この脆弱性に対する解決策は、Podman Desktopをバージョン1.26.2以降に更新することです。この更新により、HTTPサーバーの適切な接続制限とタイムアウトが実装され、リソースの枯渇のリスクが軽減されます。ユーザーは、潜在的な攻撃から身を守るために、できるだけ早くPodman Desktopのインストールを更新することを強くお勧めします。さらに、Podman Desktopによって公開されるサービスへの不正アクセスを制限するために、ネットワークセキュリティポリシーをレビューおよび強化することが推奨されます。ネットワークアクティビティを疑わしいパターンで監視することも、潜在的な搾取試行を検出および対応するのに役立ちます。
修正方法翻訳中…
Actualice Podman Desktop a la versión 1.26.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige las deficiencias de manejo de conexiones y timeouts que permiten ataques de denegación de servicio y la exposición de información sensible.
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2026-34045 とは何ですか?(Podman Desktop)
Podman Desktopは、コンテナとKubernetesの開発のためのグラフィカルツールです。
Podman Desktop の CVE-2026-34045 による影響を受けていますか?
Podman Desktopをアプリケーションのインターフェースまたは公式ウェブサイトから最新バージョンをダウンロードすることで、バージョン1.26.2以降に更新できます。
Podman Desktop の CVE-2026-34045 を修正するにはどうすればよいですか?
すぐに更新できない場合は、リスクを軽減するためにPodman Desktopへのネットワークアクセスを制限することを検討してください。
CVE-2026-34045 は積極的に悪用されていますか?
現在、この脆弱性を検出するための特定のツールはありませんが、最新バージョンに更新することが最良の防御です。
CVE-2026-34045 に関する Podman Desktop の公式アドバイザリはどこで確認できますか?
CVSS 8.2は、高重大度の脆弱性を示し、悪用される可能性が高く、重大な影響を与える可能性があります。