つみかさね

CVE-2026-34040

High(0)

CVE-2026-34040 — Docker(Moby)AuthZ プラグインバイパス

公開日: 2026-06-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
moby/moby (Docker Engine)Docker / Moby Project< 29.3.1
moby/moby/v2Docker / Moby Project< 2.0.0-beta.8

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1docker version コマンドで現在の Docker Engine バージョンを確認する
  2. 2バージョンが 29.3.1 未満の場合、Docker Engine をアップデートする
  3. 3AuthZ プラグインを使用している場合は特に優先してアップデートを実施する

影響対象

Docker Engine 利用者Docker AuthZ プラグイン利用者

補足

  • -AuthZ プラグインを使用していない環境でも、将来の設定変更を見越してアップデートを推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

D
Docker のリリース情報 →
CVEDockerMobyGo認証バイパスAuthZ

概要

Docker(Moby)の認証プラグイン(AuthZ)において、過大なサイズのリクエストボディを受け取った場合に認可チェックがバイパスされる脆弱性が確認されました。本脆弱性は過去に修正された CVE-2024-41110 のリグレッション(再発)とされています。

認可プラグインを使用して Docker へのアクセスを制御している環境では、想定外の操作が許可されてしまう可能性があります。

CVSSベクトル

CVSS スコアは本稿執筆時点で NVD による評価が未完了のため、数値は未確定です。GHSA 分類は High です。

項目内容
深刻度High(GHSA 分類)
脆弱性種別認可バイパス(AuthZ プラグイン)
攻撃経路ネットワーク(Docker デーモン)
前提条件Docker AuthZ プラグインの使用

影響を受けるソフトウェア

製品名エコシステム影響バージョン
github.com/moby/mobyGo< 29.3.1
github.com/docker/dockerGo< 29.3.1
github.com/moby/moby/v2Go< 2.0.0-beta.8

修正バージョンと回避策

  • 修正バージョン: Docker Engine 29.3.1 以降
  • アップデート方法: 各 OS のパッケージマネージャーまたは Docker 公式インストール手順に従ってアップデートしてください
  • 回避策: AuthZ プラグインを使用していない環境では直接の影響は限定的ですが、アップデートを推奨します

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2024-41110Docker AuthZ プラグインバイパス(過去の修正版)CVSS 9.9

参考リンク

GHSA:https://github.com/moby/moby/security/advisories/GHSA-x744-4wpc-v9h2
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-34040
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。