平台
docker
组件
docker
修复版本
0.28.2
0.28.1
CVE-2026-33748 是 Docker BuildKit 中发现的一个漏洞,该漏洞源于对 Git URL 片段子目录组件的验证不足。利用此漏洞,攻击者可能能够访问检出 Git 仓库根目录之外的文件,但访问仅限于同一挂载文件系统上的文件。此漏洞影响低于 0.28.1 的 Docker BuildKit 版本。该问题已在 v0.28.1 版本中修复。
Docker 中的 CVE-2026-33748 涉及对 Git URL 片段子目录组件(<url>#<ref>:<subdir>,[docs](https://docs.docker.com/build/concepts/context/#url-fragments))的验证不足。这可能允许访问已检出 Git 仓库根目录之外的文件。访问仅限于同一挂载文件系统上的文件。攻击者可能能够利用此漏洞读取敏感信息,前提是他们能够控制 Dockerfile 中使用的 Git URL。此漏洞强调了仔细控制 Docker 构建中使用的代码来源的重要性。
利用需要控制 Dockerfile 中使用的 Git URL。这可能发生在 Dockerfile 使用外部不可信的 Git 仓库,或者恶意行为者能够修改 Dockerfile 的情况下。通过创建带有子目录片段的恶意 Git URL,攻击者可能能够在构建过程中访问意向仓库之外的文件。利用成功的关键在于攻击者影响构建上下文和挂载文件系统权限的能力。
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
此问题的解决方案是更新到 Docker 的 0.28.1 或更高版本。如果无法立即升级,请避免在 Dockerfile 中使用具有子目录组件的 Git URL,尤其是在从不可信来源获取时。定期检查和审核您的 Dockerfile,以确保它们遵循安全的编码实践。考虑实施更严格的访问控制和构建环境隔离,以进一步降低此漏洞的潜在影响。
Actualice BuildKit a la versión 0.28.1 o posterior. Evite construir Dockerfiles desde fuentes no confiables o usar el componente subdir de un repositorio Git no confiable donde el componente subdir podría apuntar a un enlace simbólico.
漏洞分析和关键警报直接发送到您的邮箱。
Git URL 片段是一种机制,用于在 Dockerfile 中使用时指定 Git 仓库中的子目录或特定引用。格式为 <url>#<ref>:<subdir>。
如果您正在使用 Docker 并且您的 Dockerfile 使用带有子目录的 Git URL,则您可能受到影响。请检查您的 Docker 版本并更新到 0.28.1 或更高版本。
它指的是 Docker 构建过程正在运行的文件系统。访问仅限于该文件系统中的文件。
目前没有为此目的设计的任何特定的自动化工具。目前最佳方法是手动检查 Dockerfile。
隔离受影响的系统,检查 Docker 和系统日志中是否存在可疑活动,并考虑从干净的备份中恢复。
上传你的 Dockerfile 文件,立即知道是否受影响。