请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!请投入硬币!!!
#今天又看了啥 #security #CVE #docker
CVE-2026-33590 — Portainer 默认配置不安全导致宿主机接管
CVSS 3.1 8.2 HIGH
Portainer < 2.38.0 的 Endpoint Security 默认配置过度宽松,允许普通用户(非管理员)在创建容器时启用 bind mount、privileged mode、host namespace 等高危能力,攻击者可借此挂载宿主机文件系统或以特权模式运行容器,实现从容器逃逸到宿主机的完全接管。
说人话:
🔗 技术分析博文 · 安全公告
感觉这个漏洞本质上是个设计缺陷而非代码 bug,默认信任用户不会滥用容器特权,不过在多用户环境下还是有很大风险。
CVE-2026-33590 — Portainer 默认配置不安全导致宿主机接管
CVSS 3.1 8.2 HIGH
Portainer < 2.38.0 的 Endpoint Security 默认配置过度宽松,允许普通用户(非管理员)在创建容器时启用 bind mount、privileged mode、host namespace 等高危能力,攻击者可借此挂载宿主机文件系统或以特权模式运行容器,实现从容器逃逸到宿主机的完全接管。
默认开启的危险配置项(共 7 项):
- allowBindMountsForRegularUsers — 允许挂载宿主机任意路径
- allowPrivilegedModeForRegularUsers — 允许特权模式
- allowHostNamespaceForRegularUsers — 允许共享宿主机 PID/IPC namespace
- allowDeviceMappingForRegularUsers — 允许访问宿主机设备
- allowContainerCapabilitiesForRegularUsers — 允许选择 root capabilities
- allowSysctlSettingForRegularUsers — 允许 sysctl 操作
- allowStackManagementForRegularUsers — 允许 compose stack 管理
PoC:以普通用户身份认证 → 找到本地 Docker endpoint → 用 alpine 镜像 bind mount 宿主机 /etc/ → 直接读取 /etc/shadow。
修复:升级至 2.38.0(STS)或 2.39.0(LTS),以上配置项默认改为 false(仅 stack 管理保留 true)。升级后需手动检查 Docker Security Settings。
说人话:
Portainer 老版本有个问题:管理员给你建了个普通账号,你能自己开个容器把整台宿主机的硬盘挂进去,然后随便翻文件、读密码、写 crontab——等于直接拿下宿主机 root。
原因是 Portainer 默认把 7 个高危开关全部打开了,比如"允许普通用户挂载宿主机目录""允许特权模式"。
你需要升级版本,然后去 Settings → Docker Security Settings 确认那些开关都关了。如果你是多人共用的 Portainer 实例,建议顺便审一下历史容器有没有被滥用过。
🔗 技术分析博文 · 安全公告
感觉这个漏洞本质上是个设计缺陷而非代码 bug,默认信任用户不会滥用容器特权,不过在多用户环境下还是有很大风险。
感谢您一直以来对煎饼果子 Premium 会员服务的支持。希望您此刻正在畅享煎饼果子 Premium 的会员福利,包括双蛋特权、薄脆免费续、葱花加倍,以及在煎饼果子搭配系统中无限制组合超过 3 亿种小料搭配,其中涵盖经典鸡蛋薄脆、混搭鸡柳辣条、现场定制摊饼表演和隐藏加料版本。
为了能够持续提供优质的服务与功能,我们将把您的订阅价格从人民币 15 元/张调整为人民币 20 元/张。我们始终谨慎对待这类决定,但此次调整将帮助我们持续改进 Premium 服务,并继续支持您常惦记的煎饼摊主和吆喝艺人。
为了能够持续提供优质的服务与功能,我们将把您的订阅价格从人民币 15 元/张调整为人民币 20 元/张。我们始终谨慎对待这类决定,但此次调整将帮助我们持续改进 Premium 服务,并继续支持您常惦记的煎饼摊主和吆喝艺人。
大家好 和大家说一下 Fable 本周不过来了 下周待定 ,被群里某位上班精英举报 正在配合相关部门工作,请大家见谅,
不管是哪位有哪里不满意或者不顺心的话可以第一时间和我说一声 Claude 请客也没关系的哈,做点小本生意讨一口生活 请不要为难呢,
非常感谢你们的支持呀,非常感谢你们对 Anthropi\c 的支持与信任,感谢你们🙏原材料是 Opus 以后都会给大家写清楚 介意请勿下单 Claude 叫了十几年了 不存在欺诈等行为 都是大家的支持给了 Claude 热搜的流量 本来就是小本生意 也没有故意存在欺诈宣传 太对不起大家了🌹🙏耽误了大家的宝贵时间 万分抱歉🙏🙏🤝🌹
不管是哪位有哪里不满意或者不顺心的话可以第一时间和我说一声 Claude 请客也没关系的哈,做点小本生意讨一口生活 请不要为难呢,
非常感谢你们的支持呀,非常感谢你们对 Anthropi\c 的支持与信任,感谢你们🙏原材料是 Opus 以后都会给大家写清楚 介意请勿下单 Claude 叫了十几年了 不存在欺诈等行为 都是大家的支持给了 Claude 热搜的流量 本来就是小本生意 也没有故意存在欺诈宣传 太对不起大家了🌹🙏耽误了大家的宝贵时间 万分抱歉🙏🙏🤝🌹
非常感谢你们的支持呀,非常感谢你们对中转站的支持与信任,感谢你们。 原材料是豆包 以后都会给大家写清楚 介意请勿下单 Claude中转站叫了十几年了 不存在欺诈等行为 都是大家的支持给了中转站热搜的流量 本来就是小本生意 也没有故意存在欺诈宣传 太对不起大家了耽误了大家的宝贵时间 万分抱歉
