CVE-2026-34040 : une nouvelle faille de sécurité importante a été découverte dans Docker Engine, et dans certains cas, elle peut permettre à un attaquant de contourner le plugin de gestion des autorisations (AuthZ). Voici l’essentiel à savoir sur cette vulnérabilité.
CVE-2026-34040 : une faille avec un historique
Cette nouvelle vulnérabilité, associée à la référence CVE-2026-34040, est directement liée à une précédente faille de sécurité qui n’a pas été correctement corrigée. Cette phrase fait référence à la CVE-2024-41110, une faille liée au même composant et corrigée en juillet 2024 (et même déjà patchée en 2019). Aujourd’hui, elle refait surface.
Voici ce que précise le bulletin de sécurité Docker à propos de cette faille associée à un score CVSS de 8.8 sur 10 : “À l’aide d’une requête API spécialement conçue, un attaquant pourrait amener le démon Docker à transmettre la requête à un plugin d’autorisation sans le corps de la requête. Le plugin d’autorisation pourrait alors autoriser une requête qu’il aurait autrement refusée si le corps de la requête lui avait été transmis.”
Vladimir Tokarev, chercheur en sécurité chez Cyera, fait partie de l’équipe à l’origine de la découverte de cette vulnérabilité. En analysant le correctif apporté pour la CVE-2024-41110, il a identifié une façon potentielle d’exploiter la vulnérabilité, et donc de contourner le patch.
“La correction apportée au contournement de longueur nulle a ajouté des vérifications pour s’assurer que Content-Length > 0. Mais personne n’a examiné ce qui se passe lorsque la valeur de Content-Length est très élevée.”, peut-on lire dans son rapport.
Concrètement, un attaquant a besoin d’avoir accès à l’API Docker pour exploiter cette vulnérabilité. Mais, attention, celle-ci doit être protégée par le plugin d’autorisation AuthZ, car il est affecté par cette vulnérabilité. Une exploitation réussie permettra à un attaquant de créer un conteneur privilégié avec un accès root à l’hôte Docker, ce qui ouvre la porte à la compromission de la machine ainsi qu’au vol d’informations sensibles.
“Les plugins AuthZ sont principalement déployés dans les environnements d’entreprise, les pipelines CI/CD et les plateformes de conteneurs multi-tenants.”, précise Vladimir Tokarev. Cela signifie que si vous n’utilisez pas ce plugin, vous n’êtes pas affecté.
Son rapport met en évidence un scénario d’attaque complet où une instance AWS EC2 est utilisée pour exécuter OpenClaw. Dans ce cas, l’exploitation passerait par un dépôt empoisonné qui serait récupéré et exécuté par OpenClaw.
Source : cyera.com
Comment se protéger de cette faille Docker ?
La bonne nouvelle, c’est qu’un correctif de sécurité a été publié pour la CVE-2026-34040 : Docker Engine 29.3.1. Toutes les versions antérieures sont affectées par cette faiblesse, même s’il y a une condition préalable liée à l’utilisation du plugin AuthZ. Si vous utilisez Docker Desktop, vous devez utiliser la version 4.66.1 puisqu’elle embarque le moteur Docker patché.
Le correctif de sécurité a été intégré via ces trois changements :
Augmentation de la taille maximale du corps de message (maxBodySize) de 1 Mo à 4 Mo,
Suppression totale de la fonction drainBody(),
Passage d’un comportement “fail-open” à “fail-closed” : les requêtes dont le corps dépasse 4 Mo sont désormais rejetées avec un message d’erreur au lieu d’être ignorées silencieusement.
Une autre recommandation que l’on peut faire, c’est de limiter l’accès à l’API Docker aux ressources de confiance (principe du moindre privilège).
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.