つみかさね

CVE-2026-6406

High(8.8)

CVE-2026-6406 — Docker Desktop Enhanced Container Isolation バイパス

公開日: 2026-05-31データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Docker Desktop(ECI有効環境)Docker< 4.59.0

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Docker Desktopのバージョンを確認する(4.59.0未満が対象)
  2. 2ECI(Enhanced Container Isolation)が有効になっているか確認する
  3. 3Docker Desktop を 4.59.0 以降へアップデートする
  4. 4コンテナからDockerソケットへの不正なアクセスがなかったか確認する

影響対象

Docker Desktop利用者(ECI有効環境)

補足

  • -ECI を有効にしていない環境には影響しません
  • -ローカル攻撃者がDockerコマンドを実行できることが前提です

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

D
Docker のリリース情報 →
CVEDockerDocker DesktopコンテナセキュリティECI権限昇格

概要

Docker Desktop の Enhanced Container Isolation(ECI)機能において、--use-api-socket フラグを使用することでECIの制限を回避できる脆弱性が発見されました(CWE-863)。

ECI は Docker ソケットマウントをコンテナから保護する機能ですが、その実装において Docker API プロキシが HostConfig.Binds フィールドのみをチェックし、HostConfig.Mounts フィールドを検査していませんでした。--use-api-socket フラグはソケットマウントを HostConfig.Mounts 経由で追加するため、ECI のチェックをすり抜けることができます。

この脆弱性を悪用することで、ローカルで Docker CLI コマンドを実行できる攻撃者が ECI 制限を回避し、Docker エンジンへの完全アクセスを取得できます。また、ホストユーザーがコンテナレジストリにログイン済みの場合、その認証情報も窃取される可能性があります。

バージョン 4.59.0 で修正されています。

CVSSベクトル

項目
CVSSスコア8.8(HIGH)
CWECWE-863(不正な認可)
攻撃元区分(AV)ローカル(L)
攻撃条件の複雑さ(AC)低(L)
必要な特権レベル(PR)低(L)
ユーザー関与(UI)不要(N)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Docker DesktopDocker< 4.59.0(ECI有効時)

ECI が有効になっていない環境には影響しません。

修正バージョンと回避策

  • 修正バージョン: Docker Desktop 4.59.0 以降
  • Docker Desktop を 4.59.0 以降へアップデートしてください
  • アップデートが困難な場合は、--use-api-socket フラグの使用を制限することを検討してください

関連リンク

データソース: NVD (NIST), Zero Day Initiative AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

Docker Release Notes:https://docs.docker.com/desktop/release-notes/#4590
ZDI:https://www.zerodayinitiative.com/advisories/ZDI-26-299/
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-6406
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。