CVE-2026-5817 in Docker
要約
〜によって VulDB • 2026年05月22日
macOS上のDocker Model Runnerにおけるvllm-metal推論バックエンドは、モデルトークナイザーの読み込み時にtrust_remote_code=Trueを無条件に設定し、サンドボックス化なしで実行されます。これにより、OCIレジストリから取得された任意のモデルに含まれる任意のPythonファイルがimportされ実行されるため、推論がトリガーされるとDocker DesktopユーザーとしてDockerホスト上で任意のコードが実行されます。
Dockerネットワーク上の任意のコンテナは、model-runner.docker.internal APIを呼び出して悪意のあるモデルを取得し、推論を要求することでこれをトリガーできます。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.