Portainer.io - CVE-2026-44850

Date de publication : 01/06/2026

Il s'agit d'une vulnérabilité dans le proxy de l'API Docker de Portainer Community Edition, sur le chemin POST /containers/create.

Portainer Community Edition est une interface graphique web de gestion d'environnements conteneurisés. Elle offre une couche de contrôle au-dessus des API Docker, Swarm, Kubernetes et ACI, avec la gestion des utilisateurs, des rôles et des politiques de sécurité par environnement.

Le paramètre de sécurité "Disable bind mounts for non-administrators" n'inspecte que le champ HostConfig.Binds de la requête JSON, sans jamais contrôler le champ équivalent HostConfig.Mounts. Un utilisateur authentifié avec des droits de création de conteneurs peut soumettre un montage de type bind via ce champ ignoré et contourner intégralement la restriction.

Elle permet d'accéder en lecture et en écriture à tout chemin du système de fichiers hôte, avec les privilèges du démon Docker (généralement root).

CVE-2026-44850

[Score CVSS v3.1 : 8.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-863 : Incorrect Authorization

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Portainer Community Edition versions 2.33.0 jusqu'à 2.33.7 incluse (branche 2.33.x LTS)
•   Portainer Community Edition versions 2.39.0 jusqu'à 2.39.1 incluse (branche 2.39.x LTS)
•   Portainer Community Edition versions 2.40.x et antérieures à 2.41.0 (branche 2.40.x STS)
•   Toutes les versions antérieures à 2.33.0 (versions en fin de support, EOL, aucun correctif prévu)

Contournement provisoire

• Révoquer les droits de création de conteneurs pour tous les comptes non-administrateurs sur les environnements concernés jusqu'à l'application du correctif
• Séparer les charges de travail de niveaux de confiance différents sur des environnements distincts plutôt que de s'appuyer sur le paramètre de restriction par environnement

Solutions ou recommandations

•   Portainer Community Edition 2.33.8 et supérieures (branche 2.33.x LTS)
•   Portainer Community Edition 2.39.2 et supérieures (branche 2.39.x LTS)
•   Portainer Community Edition 2.41.0 et supérieures (branche 2.41.x STS)