Cve-2026-34040

Uma vulnerabilidade de alta severidade foi identificada no Docker Engine, permitindo que atacantes contornem plugins de autorização (AuthZ) em circunstâncias específicas. A falha, identificada como CVE-2026-34040, possui uma pontuação CVSS de 8.8 e resulta de uma correção incompleta da vulnerabilidade CVE-2024-41110, revelada em julho de 2024. De acordo com os mantenedores do Docker, um atacante pode enviar uma solicitação de API especialmente elaborada, fazendo com que o daemon do Docker encaminhe a solicitação para um plugin de autorização sem o corpo da requisição. Isso pode permitir que um pedido que normalmente seria negado seja aceito, comprometendo a segurança. A vulnerabilidade foi descoberta por vários pesquisadores de segurança e já foi corrigida na versão 29.3.1 do Docker Engine. O impacto é significativo, pois permite a criação de contêineres privilegiados com acesso ao sistema de arquivos do host, expondo credenciais e dados sensíveis. Além disso, agentes de inteligência artificial (IA) podem ser induzidos a executar códigos maliciosos que exploram essa vulnerabilidade, aumentando ainda mais o risco. Recomenda-se que as organizações evitem o uso de plugins AuthZ que dependem da inspeção do corpo da requisição e limitem o acesso à API do Docker.