anonhaven

CVE-2026-33990

MEDIUM CVSS 4.0: 6,8 EPSS 0.01%
Обновлено 4 апреля 2026
Docker
Параметр Значение
CVSS 6,8 (MEDIUM)
Устранено в версии 1.1.25
Тип уязвимости CWE-918 (Подделка запросов на стороне сервера (SSRF))
Поставщик Docker
Публичный эксплойт Нет

Docker Model Runner (DMR) — это программное обеспечение, используемое для управления, запуска и развертывания моделей искусственного интеллекта с помощью Docker. До версии 1.1.25 Docker Model Runner содержал уязвимость SSRF в потоке обмена токенами реестра OCI. При извлечении модели Model Runner следует URL-адресу области из заголовка WWW-Authenticate реестра, не проверяя схему, имя хоста или диапазон IP-адресов.

Вредоносный реестр OCI может установить область на внутренний URL-адрес (например, http://127.0.0.1:3000/), в результате чего Model Runner, работающий на хосте, будет выполнять произвольные запросы GET к внутренним службам и отражать полный текст ответа обратно вызывающему объекту. Кроме того, механизм обмена токенами может ретранслировать данные из внутренних служб обратно в реестр, контролируемый злоумышленником, через заголовок Authorization: Bearer. Эта проблема исправлена ​​в версии 1.1.25.

Для пользователей Docker Desktop включение Enhanced Container Isolation (ECI) блокирует доступ контейнера к Model Runner, предотвращая эксплуатацию. Однако, если Docker Model Runner доступен для локального хоста через TCP в определенных конфигурациях, уязвимость все равно можно использовать.

Показать оригинальное описание (EN)

Docker Model Runner (DMR) is software used to manage, run, and deploy AI models using Docker. Prior to version 1.1.25, Docker Model Runner contains an SSRF vulnerability in its OCI registry token exchange flow. When pulling a model, Model Runner follows the realm URL from the registry's WWW-Authenticate header without validating the scheme, hostname, or IP range. A malicious OCI registry can set the realm to an internal URL (e.g., http://127.0.0.1:3000/), causing Model Runner running on the host to make arbitrary GET requests to internal services and reflect the full response body back to the caller. Additionally, the token exchange mechanism can relay data from internal services back to the attacker-controlled registry via the Authorization: Bearer header. This issue has been patched in version 1.1.25. For Docker Desktop users, enabling Enhanced Container Isolation (ECI) blocks container access to Model Runner, preventing exploitation. However, if the Docker Model Runner is exposed to localhost over TCP in specific configurations, the vulnerability is still exploitable.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-918 Server-Side Request Forgery (SSRF) (Подделка запросов на стороне сервера (SSRF))

Ссылки 1

https://github.com/docker/model-runner/security/advisories/GHSA-x2f5-332j-9xwq
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34450

Docker

4,8

CVE-2026-33997

Mobyproject

8,1

CVE-2026-2287

Docker

9,8

CVE-2026-2275

Docker

9,6

CVE-2026-34205

Docker

9,6