← Retour
CVE-2026-42454
critical
CVSS 9.9
Injection de commande OS dans docker (CVE-2026-42454)
Résumé
injection de commande OS dans docker (CVE-2026-42454). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `GET /docker/containers/`.
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-42454** a été découverte dans docker.
Des attaquants peuvent cibler un point d'entrée spécifique comme `GET /docker/containers/` à distance pour détourner le produit.
L'exploitation peut entraîner la prise de contrôle totale du système. Score CVSS : 9.9/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « docker CVE-2026-42454 » sur le site de l'éditeur.
CVE-2026-42454 (docker) — CWE-78 / CVSS v3 9.9
Vecteur d'attaque : distant (réseau) / sans interaction utilisateur
Surface d'attaque : GET /docker/containers/ / `containerId` / `req.params.containerId`
Versions affectées : `<= 2.0.0`
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
Une **injection de commande OS** (CWE-78) affecte docker. Les attaquants atteignent le code vulnérable via `GET /docker/containers/` sans authentification.
📍 Périmètre concerné
docker — Plage affectée : `<= 2.0.0`. Surface d'attaque : GET /docker/containers/ / `containerId` / `req.params.containerId`.
🔥 Gravité
Gravité : Critique (CVSS 9.9/10). L'exploitation peut entraîner la prise de contrôle totale du système
🔧 Comment corriger
Mettre à jour vers la version corrigée selon l'avis éditeur. (Si une version vulnérable `<= 2.0.0` est en production, planifiez immédiatement une fenêtre de maintenance.)
🛡️ Contournement
En attendant le correctif : désactivez la fonctionnalité concernée, appliquez des règles WAF, ou restreignez l'accès par ACL réseau.
🔍 Détection
Recherchez dans les logs webserver/proxy/WAF des requêtes anormales vers `GET /docker/containers/` (en-têtes d'auth malformés, méta-caractères SQL). Auditez les fichiers de dépendances pour trouver `docker`.
Incidents passés similaires Incidents similaires extraits des CVE passées
Similar to Heartbleed in that unauthorized access can lead to significant system control.
Similar RCE in SSH command processing in web applications.
RCE through HTTP request in Apache Flink, similar vector.
Si cela arrivait dans votre entreprise Impact attendu selon le scénario métier
📌 ECサイトの管理システムとして使用されている場合
攻撃者により顧客データベースへの不正アクセスや改竄が発生する可能性があります。
📌 社内のシステム管理ツールとして利用されている場合
内部ネットワークに深刻な障害を引き起こし、業務全体が停止するリスクがあります。
📌 クラウドサービスの管理インターフェースとして使用されている場合
クラウド上のリソースが攻撃者に奪取され、データ流出や財務的損失に繋がる可能性があります。
Action recommandée
速やかにTermixをバージョン2.1.0にアップデートし、影響を受ける可能性のあるサービスを再評価してください。
Actions de réponse (7 étapes)
Étapes concrètes et exemples de commandes que les équipes SOC/SRE doivent exécuter dans l'ordre
-
1Identify exposure identify
grep -r 'docker' . | grep -v node_modulesリポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `docker` を grep し、稼働しているサービス・バージョンを把握する。
-
2Match against affected range verify
Confirm if version satisfies `<= 2.0.0`Step 1 で見つかったバージョンが影響範囲 `<= 2.0.0` に該当するか照合。本番で稼働中ならインシデント扱い。
-
3Hunt for indicators of compromise detect
grep 'GET /docker/containers/' /var/log/nginx/access.log | grep -E '(unusual_payload|sqli_pattern)'アクセスログで `GET /docker/containers/` への異常なリクエスト (不正な認証ヘッダ・SQLメタ文字)を過去 30〜90日分捜索。WAF/SIEM があれば該当パスのアラート発火履歴を確認。
-
7Post-deployment verification verify
Replay attack against GET /docker/containers/ on staging to confirm patch closes the vectorパッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。
Références
- web [email protected]
- web [email protected]