APCEN

CVE-2026-34040 : une vulnérabilité critique dans Docker pouvant mener à un accès root sur l’hôte

Publié le 08 avril 2026

Une vulnérabilité critique référencée CVE-2026-34040 a été identifiée dans le Docker Engine, exposant certains environnements à un risque majeur de compromission. Cette faille, qui obtient un score CVSS de 8.8/10, permet dans des conditions spécifiques de contourner les mécanismes de contrôle d’accès et d’aboutir à une élévation de privilèges jusqu’au niveau root sur l’hôte.

Origine et contexte de la vulnérabilité

La vulnérabilité CVE-2026-34040 s’inscrit dans la continuité d’un problème antérieur, identifié sous la référence CVE-2024-41110. Bien que cette dernière ait fait l’objet de correctifs en 2024 (et même précédemment en 2019), les ajustements apportés se sont révélés incomplets, permettant une nouvelle forme d’exploitation.

Les travaux du chercheur en cybersécurité Vladimir Tokarev ont mis en évidence une faiblesse dans la manière dont les requêtes API sont traitées par Docker, notamment en interaction avec les plugins d’autorisation.

Description technique de la faille

Le problème réside dans la gestion des requêtes envoyées à l’API Docker. Lorsqu’un plugin d’autorisation (AuthZ) est utilisé, celui-ci est censé analyser les requêtes afin de décider si elles doivent être autorisées ou rejetées.

Cependant, dans certains cas, Docker transmet la requête au plugin sans inclure son corps (body). Cette omission empêche le plugin de disposer de toutes les informations nécessaires pour effectuer un contrôle fiable.

Le correctif précédent avait introduit une vérification sur la taille du corps de la requête via l’attribut Content-Length, en s’assurant qu’il soit supérieur à zéro. Toutefois, aucune vérification n’a été mise en place pour gérer les valeurs anormalement élevées. Un attaquant peut exploiter cette lacune en manipulant ce champ pour contourner les contrôles.

Ce comportement conduit à un scénario de type « fail-open », dans lequel une requête potentiellement malveillante est acceptée faute d’analyse complète.

Conditions d’exploitation

L’exploitation de la vulnérabilité nécessite plusieurs conditions :

un accès à l’API Docker ;

l’utilisation d’un plugin d’autorisation (AuthZ) ;

un environnement exposé, tel qu’un système CI/CD, une infrastructure cloud ou une plateforme multi-tenant.

Il est important de noter que les environnements n’utilisant pas de plugin AuthZ ne sont pas concernés par cette faille.

Impacts et risques

Une exploitation réussie permet à un attaquant de :

contourner les mécanismes de contrôle d’accès ;

créer un conteneur privilégié ;

échapper à l’isolation des conteneurs ;

obtenir un accès root sur l’hôte ;

compromettre l’intégrité du système et accéder à des données sensibles.

Dans des environnements d’entreprise ou de production, ces conséquences peuvent entraîner des pertes de données, des interruptions de service et une compromission globale de l’infrastructure.

Correctifs et mesures de mitigation

Un correctif officiel a été publié par Docker. Les versions sécurisées sont les suivantes :

Docker Engine version 29.3.1 ;

Docker Desktop version 4.66.1.

Les correctifs apportés incluent :

l’augmentation de la taille maximale du corps des requêtes (de 1 Mo à 4 Mo) ;

la suppression de certaines fonctions vulnérables liées au traitement des requêtes ;

l’adoption d’un comportement « fail-closed », dans lequel les requêtes suspectes sont explicitement rejetées.

En complément de la mise à jour, les recommandations suivantes doivent être appliquées :

restreindre strictement l’accès à l’API Docker ;

appliquer le principe du moindre privilège ;

isoler les environnements critiques ;

surveiller les activités suspectes au niveau des API.

Conclusion

La vulnérabilité CVE-2026-34040 illustre les risques liés à des correctifs incomplets dans des composants critiques. Elle met en évidence l’importance d’une validation rigoureuse des mécanismes de sécurité, notamment dans des environnements DevOps et cloud où les conteneurs jouent un rôle central.

La mise à jour vers les versions corrigées de Docker, combinée à des mesures de sécurité appropriées, est essentielle pour limiter les risques d’exploitation.

---

Sources

Analyse technique du chercheur Vladimir Tokarev:https://www.cyera.com/blog/cyera-research-discovers-docker-authorization-bypass-that-silently-disables-security-policies?utm_source=uwazy.com

Base de données des vulnérabilités CVE (MITRE):
https://nvd.nist.gov/vuln/detail/CVE-2026-34040?utm_source=uwazy.com

Documentation de sécurité Docker:

https://github.com/advisories/GHSA-x744-4wpc-v9h2?utm_source=uwazy.com

Joyeux fêtes de paques !

Pendant la période de Pâques,
la vigilance est de mise face à la recrudescence des cyberarnaques. Les criminels utilisent des e-mails frauduleux, des fausses cartes-cadeaux (Rituals, etc.), des promotions de vacances suspectes et des messages de phishing pour voler des données personnelles ou bancaires.
Principales menaces de Pâques :
* Phishing thématique : E-mails et SMS simulant des marques célèbres ou des jeux-concours pour gagner des chocolats/cadeaux.
*Faux sites de vacances : Offres de location ou vols "dernière minute" à des prix irréalistes.
*Arnaques aux dons : Fausses associations caritatives sollicitant des dons durant la période festive.
SOYEZ PRUDENTS !!!

À l’occasion du mois béni de Ramadan, APCEN souhaite à toutes la communauté un Ramadan paisible, rempli de santé, de solidarité et d’espérance.
Que cette période de prière, de partage et de générosité renforce les liens au sein des communautés.
Ramadan Moubarak à toutes et à tous. 🌙