Platform
docker
Component
docker
Opgelost in
0.28.2
0.28.1
CVE-2026-33748 is een kwetsbaarheid in Docker BuildKit, een toolkit voor het converteren van broncode naar build-artefacten. Door onvoldoende validatie van Git URL fragment submappen, kan een aanvaller toegang krijgen tot bestanden buiten de uitgecheckte Git repository root. De impact is beperkt tot bestanden op hetzelfde aangekoppelde bestandssysteem. Deze kwetsbaarheid treft versies lager dan 0.28.1. De kwetsbaarheid is verholpen in versie 0.28.1.
CVE-2026-33748 in Docker betreft een onvoldoende validatie van Git URL fragment subdirectory componenten (<url>#<ref>:<subdir>, [docs](https://docs.docker.com/build/concepts/context/#url-fragments)). Dit kan toegang tot bestanden buiten de uitgecheckte Git repository root mogelijk maken. De toegang is beperkt tot bestanden op hetzelfde gemonteerde bestandssysteem. Een aanvaller zou dit mogelijk kunnen misbruiken om gevoelige informatie te lezen als ze de Git URL die in een Dockerfile wordt gebruikt, kunnen controleren. Deze kwetsbaarheid benadrukt het belang van een zorgvuldige controle van de bronnen van de code die in uw Docker builds worden gebruikt.
Exploitatie vereist controle over de Git URL die in de Dockerfile wordt gebruikt. Dit kan het geval zijn als een Dockerfile een extern, niet-vertrouwbaar Git-repository gebruikt, of als een kwaadwillende actor de Dockerfile kan wijzigen. Door een kwaadaardige Git URL te creëren met een subdirectory fragment, kan een aanvaller mogelijk tijdens het build-proces toegang krijgen tot bestanden buiten de beoogde repository. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om de build context en de permissies van het gemonteerde bestandssysteem te beïnvloeden.
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
De oplossing voor dit probleem is het updaten naar versie 0.28.1 van Docker of hoger. De primaire mitigatie is om te updaten naar deze versie of hoger. Als een onmiddellijke upgrade niet mogelijk is, vermijd dan het gebruik van Git URL's met subdirectory componenten in Dockerfiles, vooral bij het gebruik van niet-vertrouwde bronnen. Controleer en audit regelmatig uw Dockerfiles om ervoor te zorgen dat ze veilige codeerpraktijken volgen. Overweeg strengere toegangscontroles en build-omgevingsisolatie te implementeren om de potentiële impact van deze kwetsbaarheid verder te verminderen.
Actualice BuildKit a la versión 0.28.1 o posterior. Evite construir Dockerfiles desde fuentes no confiables o usar el componente subdir de un repositorio Git no confiable donde el componente subdir podría apuntar a un enlace simbólico.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een Git URL fragment is een mechanisme om een subdirectory of een specifieke referentie binnen een Git repository aan te geven wanneer deze in een Dockerfile wordt gebruikt. Het volgt het formaat <url>#<ref>:<subdir>.
Als u Docker gebruikt en uw Dockerfiles Git URL's met subdirectory's gebruiken, kunt u mogelijk getroffen zijn. Controleer uw Docker-versie en update deze naar 0.28.1 of hoger.
Het verwijst naar het bestandssysteem waarop het Docker build-proces wordt uitgevoerd. De toegang is beperkt tot bestanden in dat bestandssysteem.
Momenteel zijn er geen speciale geautomatiseerde tools voor dit doel. De handmatige controle van Dockerfiles is momenteel de beste aanpak.
Isoleer het getroffen systeem, bekijk de Docker- en systeemlogboeken op verdachte activiteiten en overweeg om te herstellen van een schone back-up.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Dockerfile-bestand en we vertellen je direct of je getroffen bent.