Docker Model Runner OCI 注册表客户端易受服务器端请求伪造 (SSRF) 攻击

该 SSRF 漏洞的潜在影响非常严重。攻击者可以利用该漏洞访问 Model Runner 运行主机的内部网络资源，例如数据库、管理界面或其他敏感服务。通过这种方式，攻击者可以窃取敏感数据、执行未经授权的操作，甚至可能在内部网络中进行横向移动。由于 Model Runner 通常用于部署和运行机器学习模型，因此该漏洞可能导致模型供应链的安全风险，攻击者可以注入恶意模型或利用漏洞获取模型训练数据。该漏洞的攻击模式类似于其他 SSRF 漏洞，攻击者可以利用它来扫描内部网络，识别开放端口和易受攻击的服务。

Organizations utilizing Docker Model Runner for model deployment and inference are at risk, particularly those with internal services accessible via HTTP. Shared hosting environments where multiple users share the same Model Runner instance are also at increased risk, as a compromised registry used by one user could potentially impact others.

• linux / server:

journalctl -u model-runner | grep -i "realm URL"

• go / supply-chain: Inspect the Model Runner source code for the realm URL handling logic. Look for missing validation of the scheme, hostname, or IP range. • generic web: Monitor outbound HTTP requests from the Model Runner process using network monitoring tools. Look for connections to unexpected internal IP addresses or hostnames.

1. 2026-03-30Disclosure

   disclosure

1. 已保留2026-03-24
2. 发布日期2026-03-30
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-09

为了缓解 CVE-2026-33990 的风险，建议立即升级到 Docker Model Runner 1.1.25 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Model Runner 对外部网络的访问，使用防火墙或网络策略阻止对敏感内部服务的访问。此外，可以对 OCI 注册表的 Realm URL 进行严格的验证，确保其指向可信的域名和 IP 地址。监控 Model Runner 的网络流量，检测异常的 GET 请求，并及时采取措施阻止攻击。升级后，请确认 Realm URL 的验证机制已正确生效，并测试 Model Runner 的内部网络访问权限。