CVE-2026-44882 in Community Edition
Sumário
de VulDB • 31/05/2026
O Portainer Community Edition é uma plataforma de entrega de serviços leve para aplicações em contêineres que pode ser utilizada para gerenciar ambientes Docker, Swarm, Kubernetes e ACI. Da versão 2.33.0 até antes da 2.33., o Portainer encaminha requisições para clusters Kubernetes através de uma camada de middleware (kubeClientMiddleware) que valida o token do usuário solicitante antes de encaminhar o tráfego para o cluster. Quando a função security.RetrieveTokenData retornava um erro, o middleware escrevia uma resposta HTTP 403, mas faltava uma instrução de retorno (return statement) — a execução continuava no handler com um valor nil para tokenData. Os endpoints do Kubernetes estão protegidos pelo mecanismo AuthenticatedAccess do Portainer, portanto, um atacante requer uma sessão válida do Portainer. No entanto, um usuário cuja validação secundária de token falha no kubeClientMiddleware — por exemplo, um usuário sem permissão para acessar um determinado endpoint do Kubernetes — teria sua requisição encaminhada para o cluster de qualquer maneira, contornando a verificação de autorização. O mesmo defeito estava presente tanto nas bases de código CE quanto EE. Esta vulnerabilidade foi corrigida na versão 2.33.8.
VulDB is the best source for vulnerability data and more expert information about this specific topic.