Portainer Docker Plugin Endpoint Missing Authorization Leads to Host RCE

漏洞概述 标题: Missing authorization on Docker plugin endpoints allows host RCE 描述: Portainer 在 Docker API 上实施了基于角色的访问控制（RBAC）。代理层将传入的 Docker API 请求路由到预定义的资源（如容器、镜像、服务、卷等），这些资源应用了授权检查。然而，Docker 插件管理端点（ ）未注册处理程序，因此标准用户可以直接访问受保护的插件操作，包括安装和启用插件——直接针对底层 Docker 守护进程。 当非管理员 Portainer 用户（标准用户角色或仅授予端点级别访问权限）通过 Portainer RBAC 获得对 Docker 端点的访问权限时，漏洞被暴露。管理员和没有 Docker 端点访问权限的用户不受影响。 具有 Docker 端点访问权限的普通用户可以： 从任何注册表拉取任意插件，通过 POST 。 授予特权请求，包括 和主机路径挂载。 通过 POST 启用插件，此时 Docker 以主机上的 root 权限运行插件。 Docker 插件以主机上的 root 身份执行，可以请求任意主机能力和挂载。启用恶意插件允许用户访问主机文件系统，并等效于在主机上以 root 身份运行。 影响范围 严重性: Critical — CVSS 9.4 受影响版本: - >= 2.33.0, = 2.39.0, = 2.40.0, < 2.41.0 修复版本: 2.33.8 2.39.2 2.41.0 修复方案 修复版本: 2.33.8 2.39.2 2.41.0 临时缓解措施: 无法立即升级的管理员可以通过暂时撤销非管理员用户通过 Portainer RBAC 对 Docker 端点的访问权限来减少暴露，直到补丁版本部署。这消除了攻击面，而不会对管理员造成干扰。这并不替代升级。 受影响代码 影响 经过身份验证的非管理员 Portainer 用户，如果有权访问任何启用了 Docker 的端点，可以： 从任何注册表安装和启用任意 Docker 插件。 以主机上的 root 权限执行插件代码（包括声明 和主机路径挂载）。 从受限账户读取和修改主机文件系统上的文件，覆盖管理员的安全策略。 时间线 2026-03-16: 由 GitHub Security Advisory 报告。 2026-04-20: 修复合并到 、 和 。 2026-04-29: 2.41.0 发布。 2026-05-07: 2.39.2-LTS 和 2.33.8-LTS 发布。 信用 ikkebr — 识别并报告了影响 Docker 插件管理端点的代理允许列表绕过。

Goal Reached Thanks to every supporter — we hit 100%!

Portainer Docker Plugin Endpoint Missing Authorization Leads to Host RCE

More from this source