文章总结： Docker官方披露高危漏洞CVE-2026-34040，该漏洞因对旧漏洞CVE-2024-41110修复不完整导致，存在于DockerEngine中。攻击者可通过构造超大请求体绕过授权插件（authz）的访问控制，实现容器逃逸并获得宿主机权限。官方已在DockerEngine29.3.1版本修复，建议用户尽快升级；若无法升级，可避免使用依赖请求体检查的authz插件、严格限制DockerAPI访问范围并贯彻最小权限原则作为临时缓解措施。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,容器安全

未完全修复旧漏洞！Docker Engine新漏洞可致容器逃逸与主机接管

看雪学苑 看雪学苑

看雪学苑

2026年4月9日 17:59 上海

近日，Docker 官方披露了一枚高危安全漏洞（CVE-2026-34040），该漏洞存在于 Docker Engine 中，允许攻击者绕过授权插件（AuthZ）的访问控制，进而可能获得底层宿主机的非法访问权限。

值得注意的是，此漏洞是对先前已知漏洞（CVE-2024-41110）的不完整修复所导致的遗留风险。在特定的 Docker 配置环境下，攻击者能够利用这一缺陷实施权限绕过。

漏洞原理：授权插件如何被“蒙蔽”

在企业容器环境中，管理员经常借助 Docker 授权插件（AuthZ）对 Docker API 的访问进行精细管控。这类插件扮演“守门员”角色，通过检查传入 API 请求的正文（body）内容，判断用户是否有权限执行相应操作。

安全研究人员发现，攻击者可构造一个带有超大请求体的恶意 API 请求。当 Docker 守护进程（daemon）处理该请求时，虽然会将请求转发给 AuthZ 插件，但却会丢弃掉请求体。这样一来，授权插件因无法获取请求体内容，也就无法识别其中隐藏的恶意载荷，最终批准了一个本应拒绝的请求，从而达成绕过授权检查的目的。

风险影响与评级

• 漏洞编号：CVE-2026-34040
• CVSS v3.1 评分：高（High）
• 攻击条件：需要本地访问权限及低权限账户
• 攻击复杂度：低
• 用户交互：无需
• 潜在后果：容器逃逸，攻击者可获得宿主机系统的一定访问权限

不过，官方评估该漏洞在实际环境中的被利用可能性较低。其影响范围严格限定于依赖授权插件且插件需检查请求体内容以做出访问控制决策的场景。如果您的 Docker 部署并未使用 AuthZ 插件，则完全不受此漏洞影响。

修复方案与临时缓解措施

Docker 开发团队已在 Docker Engine 29.3.1 版本中完成了漏洞修复（相关公告发布于 GitHub）。建议系统管理员及安全团队尽快升级至此修复版本。

对于无法立即升级的环境，可采用以下临时缓解策略：

• 避免使用依赖请求体检查作为授权依据的 AuthZ 插件；

• 严格限制 Docker API 的访问范围，仅允许受信任的调用方；

• 在容器环境中贯彻最小权限原则，降低本地攻击成功的可能性。

资讯来源：根据 Docker 官方安全公告及 GitHub 披露信息整理（CVE-2026-34040）。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《未完全修复旧漏洞！Docker Engine新漏洞可致容器逃逸与主机接管》