Docker Desktop 远程代码执行漏洞(CVE-2023-0625)
漏洞描述:
Docker Desktop中存在跨站脚本漏洞,攻击者可以制作恶意拓展诱使受害者安装,成功安装将在目标系统上执行任意代码。
利用条件:用户交互
漏洞利用可能:
高
影响版本:Docker Desktop < 4.12.0
修复方法:
目前官方已有可更新版本,建议受影响用户升级至最新版本
相关链接:
https://docs.docker.com/desktop/release-notes/#4120
Docker Desktop 远程代码执行漏洞(CVE-2023-0626)
漏洞描述:
Docker Desktop通过消息框路由中的查询参数容易受到代码注入,攻击者诱使受害者打开链接,可以注入恶意代码,在目标系统上执行任意代码。
利用条件:低权限
用户交互
漏洞利用可能性:高
影响版本:Docker Docker_Desktop < 4.12.0
修复方法:目前官方已有可更新版本,建议受影响用户升级至最新版本
相关链接:
https://docs.docker.com/desktop/release-notes/#4120
Docker Desktop 权限提升漏洞(CVE-2023-0627)
漏洞描述:
Docker Desktop 4.11.x允许通过IPC响应欺骗绕过--no-windows-containers标志,这可能会导致本地权限提升(LPE)。
利用条件:利用此漏洞需本地触发
利用此漏洞需低权限
漏洞利用可能性:中
影响版本:4.11.0 <= Docker Docker_Desktop < 4.12.0
修复方法:目前官方已有可更新版本,建议受影响用户升级至最新版本
相关链接:
https://docs.docker.com/desktop/release-notes/#4120
原文始发于微信公众号(飓风网络安全):【漏洞预警】Docker Desktop 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论