Se ha reportado una vulnerabilidad de severidad crítica en el complemento Authz de Moby, que podría permitir eludir mecanismos de autorización mediante solicitudes de API diseñadas adecuadamente.
Productos afectados:
Las versiones afectadas del Motor acoplable son:
- Versión 19.03.15 y anteriores.
- Versión 20.10.27 y anteriores.
- Versión 23.0.14 y anteriores.
- Versión 24.0.9 y anteriores.
- Versión 25.0.5 y anteriores.
- Versión 26.0.2 y anteriores.
- Versión 26.1.4 y anteriores.
- Versión 27.0.3 y anteriores.
- Versión 27.1.0 y anteriores.
Impacto:
La vulnerabilidad se identifica como CVE-2024-41110: con una puntuación en CVSSv3 de 9.9, de severidad crítica. Esta vulnerabilidad podría permitir acciones no autorizadas, incluyendo la escalada de privilegios, si se utiliza un complemento de autorización que introspeccione el cuerpo de las solicitudes o respuestas.
Recomendación:
Se recomienda actualizar a la última versión disponible del producto afectado desde la página oficial del fabricante.
Referencia:
https://nvd.nist.gov/vuln/detail/CVE-2024-41110
https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/
https://github.com/moby/moby/security/advisories/GHSA-v23v-6jw2-98fq