Vulnerabilities ›

CVE-2026-44849

High ⚡ Exploit Available

CWE-862 — Weakness Type

                    Published: May 28, 2026                      ·  Modified: Jun 4, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Portainer Community Edition is a lightweight service delivery platform for containerized applications that can be used to manage Docker, Swarm, Kubernetes and ACI environments. From 2.33.0 to before 2.33.8, 2.39.2, and 2.41.0, Portainer enforces seven EndpointSecuritySettings restrictions that administrators configure to restrict the container configurations non-admin users can launch: privileged mode, host PID namespace, device mapping, capabilities, sysctls, security-opt (Seccomp / AppArmor), and bind mounts. These restrictions are enforced on the standard container creation path, but several of them are not applied on the Docker Swarm service API. This vulnerability is fixed in 2.33.8, 2.39.2, and 2.41.0.

🤖 AI Executive Summary

Portainer Community Edition versions 2.33.0 to 2.41.0 fail to enforce EndpointSecuritySettings restrictions on Docker Swarm service API, allowing non-admin users to bypass security controls. This enables unauthorized container configurations including privileged mode, device mapping, and capability escalation.

📄 Description (Arabic)

يؤثر هذا الثغرة على Portainer Community Edition حيث لا يتم تطبيق قيود الأمان المكونة من قبل المسؤولين على مسار إنشاء خدمة Docker Swarm. يمكن للمستخدمين غير المسؤولين تجاوز السياسات الأمنية وإنشاء حاويات بامتيازات محظورة مثل الوضع المميز ورسم خرائط الأجهزة والقدرات الخطرة.

🤖 ملخص تنفيذي (AI)

إصدارات Portainer Community Edition من 2.33.0 إلى 2.41.0 تفشل في فرض قيود EndpointSecuritySettings على Docker Swarm service API، مما يسمح للمستخدمين غير المسؤولين بتجاوز عناصر التحكم الأمنية. يمكن هذا من تكوينات الحاويات غير المصرح بها بما في ذلك الوضع المميز ورسم خرائط الأجهزة وتصعيد الإمكانيات.

🤖 AI Intelligence Analysis Analyzed: Jun 2, 2026 18:03

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1548.002 T1611 T1562.008

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Portainer Community Edition to version 2.33.8, 2.39.2, or 2.41.0 or later immediately. Review and audit all container configurations deployed via Docker Swarm API for unauthorized privileged settings. Implement network segmentation to restrict access to Portainer management interfaces. Monitor container creation activities for suspicious privilege escalation attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Portainer Community Edition إلى الإصدار 2.33.8 أو 2.39.2 أو 2.41.0 أو أحدث على الفور. راجع وتدقيق جميع تكوينات الحاويات المنشورة عبر واجهة برمجة تطبيقات Docker Swarm للإعدادات المميزة غير المصرح بها. تنفيذ تقسيم الشبكة لتقييد الوصول إلى واجهات إدارة Portainer. مراقبة أنشطة إنشاء الحاويات للمحاولات المريبة لتصعيد الامتيازات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

3.1.1 3.1.2 3.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-7

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 1

🔗

https://github.com/portainer/portainer/security/advisories/GHSA-5fxq-qcf3-244w

security-advisories@github.com

Exploit Third Party Advisory

📦 Affected Products / CPE 3 entries

portainer:portainer

portainer:portainer:2.40.0

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-862

EPSS0.04%

Exploit ✓ Yes

Patch ✗ No

Published 2026-05-28

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44849

Introduce Yourself

Sign In Required