PT-2021-7301 · Docker+5 · Docker Cli+5

Lowthajeztah

·

Publicado

2021-10-04

·

Atualizado

2026-02-06

·

CVE-2021-41092

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões da CLI do Docker anteriores à 20.10.9
Descrição
Foi encontrado um bug no Docker CLI em que a execução de docker login my-private-registry.example.com com um arquivo de configuração mal configurado (normalmente ~/.docker/config.json) listando um credsStore ou credHelpers que não pudesse ser executado resultaria no envio de quaisquer credenciais fornecidas para registry-1.docker.io em vez do registro privado pretendido. O problema está relacionado à proteção insuficiente dos dados de registro, o que poderia permitir que um invasor remoto obtivesse credenciais arbitrárias.
Recomendações
Para versões da CLI do Docker anteriores à 20.10.9, atualize para a versão 20.10.9 o mais rápido possível.
Para usuários que não possam atualizar, certifique-se de que quaisquer entradas credsStore ou credHelpers configuradas no arquivo de configuração façam referência a um auxiliar de credenciais instalado que seja executável e esteja no PATH.

Correção

Information Disclosure

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-522

Identificadores relacionados

ALT-PU-2021-4839
ALT-PU-2021-4841
BDU:2022-05502
BIT-DOCKER-CLI-2021-41092
CVE-2021-41092
GHSA-99PG-GRM5-QQ3V
GO-2024-2912
MGASA-2021-0500
OESA-2022-1739
OPENSUSE-SU-2021:1404-1
OPENSUSE-SU-2021:3506-1
OPENSUSE-SU-2021_1404-1
OPENSUSE-SU-2021_3506-1
OPENSUSE-SU-2022:0334-1
OPENSUSE-SU-2022_0334-1
OPENSUSE-SU-2024:11566-1
OPENSUSE-SU-2025:15589-1
SUSE-SU-2021:3336-1
SUSE-SU-2021:3506-1
SUSE-SU-2022:0213-1
SUSE-SU-2022:0334-1
SUSE-SU-2025:03540-1
SUSE-SU-2025:03545-1
USN-5134-1

Produtos afetados

Alt Linux
Astra Linux
Docker Cli
Linuxmint
Suse
Ubuntu