الثغرات ›

CVE-2026-44849

مرتفع ⚡ اختراق متاح

CWE-862 — نوع الضعف

                    نُشر: May 28, 2026                      ·  آخر تحديث: Jun 4, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Portainer Community Edition is a lightweight service delivery platform for containerized applications that can be used to manage Docker, Swarm, Kubernetes and ACI environments. From 2.33.0 to before 2.33.8, 2.39.2, and 2.41.0, Portainer enforces seven EndpointSecuritySettings restrictions that administrators configure to restrict the container configurations non-admin users can launch: privileged mode, host PID namespace, device mapping, capabilities, sysctls, security-opt (Seccomp / AppArmor), and bind mounts. These restrictions are enforced on the standard container creation path, but several of them are not applied on the Docker Swarm service API. This vulnerability is fixed in 2.33.8, 2.39.2, and 2.41.0.

🤖 ملخص AI

Portainer Community Edition versions 2.33.0 to 2.41.0 fail to enforce EndpointSecuritySettings restrictions on Docker Swarm service API, allowing non-admin users to bypass security controls. This enables unauthorized container configurations including privileged mode, device mapping, and capability escalation.

📄 الوصف (العربية)

يؤثر هذا الثغرة على Portainer Community Edition حيث لا يتم تطبيق قيود الأمان المكونة من قبل المسؤولين على مسار إنشاء خدمة Docker Swarm. يمكن للمستخدمين غير المسؤولين تجاوز السياسات الأمنية وإنشاء حاويات بامتيازات محظورة مثل الوضع المميز ورسم خرائط الأجهزة والقدرات الخطرة.

🤖 ملخص تنفيذي (AI)

إصدارات Portainer Community Edition من 2.33.0 إلى 2.41.0 تفشل في فرض قيود EndpointSecuritySettings على Docker Swarm service API، مما يسمح للمستخدمين غير المسؤولين بتجاوز عناصر التحكم الأمنية. يمكن هذا من تكوينات الحاويات غير المصرح بها بما في ذلك الوضع المميز ورسم خرائط الأجهزة وتصعيد الإمكانيات.

🤖 التحليل الذكي آخر تحليل: Jun 2, 2026 18:03

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1548.002 T1611 T1562.008

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Portainer Community Edition to version 2.33.8, 2.39.2, or 2.41.0 or later immediately. Review and audit all container configurations deployed via Docker Swarm API for unauthorized privileged settings. Implement network segmentation to restrict access to Portainer management interfaces. Monitor container creation activities for suspicious privilege escalation attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Portainer Community Edition إلى الإصدار 2.33.8 أو 2.39.2 أو 2.41.0 أو أحدث على الفور. راجع وتدقيق جميع تكوينات الحاويات المنشورة عبر واجهة برمجة تطبيقات Docker Swarm للإعدادات المميزة غير المصرح بها. تنفيذ تقسيم الشبكة لتقييد الوصول إلى واجهات إدارة Portainer. مراقبة أنشطة إنشاء الحاويات للمحاولات المريبة لتصعيد الامتيازات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

3.1.1 3.1.2 3.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-7

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 1

🔗

https://github.com/portainer/portainer/security/advisories/GHSA-5fxq-qcf3-244w

security-advisories@github.com

Exploit Third Party Advisory

📦 المنتجات المتأثرة 3 منتج

portainer:portainer

portainer:portainer:2.40.0

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-862

EPSS0.04%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-28

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44849

عرّفنا بنفسك

تسجيل الدخول مطلوب