CVE-2026-44882 in Community Editionالمعلومات

الملخص

بحسب VulDB • 31/05/2026

تُعد Portainer Community Edition منصة خفيفة الوزن لتوصيل الخدمات للتطبيقات الحاوية، ويمكن استخدامها لإدارة بيئات Docker و Swarm و Kubernetes و ACI. من الإصدار 2.33.0 وحتى قبل الإصدار 2.33.، تقوم Portainer بتوجيه الطلبات إلى عناقيد Kubernetes عبر طبقة وسيطة (kubeClientMiddleware) تقوم بالتحقق من صحة رمز المستخدم (token) المقدم قبل توجيه حركة المرور إلى العنقود. عندما كانت security.RetrieveTokenData تُرجع خطأً، كانت الطبقة الوسيطة تكتب استجابة HTTP 403، لكنها كانت تفتقر إلى عبارة الإرجاع (return statement) — مما أدى إلى استمرار التنفيذ داخل المعالج (handler) بقيمة nil لـ tokenData. نظرًا لأن نقاط نهاية Kubernetes (Kubernetes endpoints) تقع خلف حارس المرمى الخارجي للتحقق من المصادقة في Portainer (AuthenticatedAccess bouncer)، فإن المهاجم يحتاج إلى جلسة Portainer صالحة. ومع ذلك، فإن المستخدم الذي يفشل التحقق من صحة رمزه الثانوي في kubeClientMiddleware — على سبيل المثال، مستخدم لا يملك إذنًا للوصول إلى نقطة نهاية Kubernetes معينة — سيتم توجيه طلبه إلى العنقود على أي حال، متجاوزًا بذلك فحص التفويض (authorization check). كان نفس العيب موجودًا في كل من شيفرتي CE و EE. تم إصلاح هذا الثغرة الأمنية في الإصدار 2.33.8.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

07/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367133

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00051

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44882
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44882
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44882/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!