製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Docker等の複数ベンダの製品における複数の脆弱性

タイトル	Docker等の複数ベンダの製品における複数の脆弱性
概要	Mobyはオープンソースのコンテナフレームワークです。Docker Engineのバージョン29.5.1以前、Docker Daemonのバージョン28.5.2以前、およびMoby Daemonのバージョン2.0.0-beta.14以前において、docker cpのマウント設定中に競合状態が発生し、悪意のあるコンテナがバインドマウントの対象を任意のホストパスにリダイレクトできる可能性があります。その結果、ホスト上のファイルを上書きしたり、サービス拒否を引き起こしたりするおそれがあります。この問題はDocker Engineバージョン29.5.1およびMoby Daemonバージョン2.0.0-beta.14で修正されています。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月12日0:00
登録日	2026年6月17日15:37
最終更新日	2026年6月17日15:37

CVSS3.0 : 重要
スコア	7.2
ベクター	CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

影響を受けるシステム

Docker

Engine 29.5.1 未満

Moby Project

Moby 28.5.2 およびそれ以前

moby/v2 2.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42306	https://www.cve.org/CVERecord?id=CVE-2026-42306
National Vulnerability Database (NVD)
2	CVE-2026-42306	https://nvd.nist.gov/vuln/detail/CVE-2026-42306

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-367	https://cwe.mitre.org/data/definitions/367.html
2	CWE-61	https://cwe.mitre.org/data/definitions/61.html

ベンダー情報

No	名前	URL
GitHub
1	Race condition in docker cp allows bind mount redirection to host path Advisory moby/moby GitHub	https://github.com/moby/moby/security/advisories/GHSA-rg2x-37c3-w2rh

変更履歴

No	変更内容	変更日
1	[2026年06月17日] 掲載	2026年6月17日15:37

NVD脆弱性情報

CVE-2026-42306

概要	Moby is an open source container framework. In Docker Engine prior to version 29.5.1, Docker Daemon versions 28.5.2 and prior, and Moby Daemon prior to version 2.0.0-beta.14, a race condition during docker cp mount setup allows a malicious container to redirect a bind mount target to an arbitrary host path, potentially overwriting host files or causing denial of service. This issue has been patched in Docker Engine version 29.5.1 and Moby Daemon version 2.0.0-beta.14.
公表日	2026年6月13日4:16
登録日	2026年6月14日4:11
最終更新日	2026年6月17日3:31

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:docker:engine::::::::					29.5.1
cpe:2.3:a:mobyproject:moby::::::::			28.5.2
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta0::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta1::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta10::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta11::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta12::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta13::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta2::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta3::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta4::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta5::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta6::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta7::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta8::::::
cpe:2.3:a:mobyproject:moby\/v2:2.0.0:beta9::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/moby/moby/security/advisories/GHSA-rg2x-37c3-w2rh	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-367	Time-of-check Time-of-use (TOCTOU) 競合状態	https://cwe.mitre.org/data/definitions/367.html
2	CWE-61	UNIX Symbolic Link のフォロー	https://cwe.mitre.org/data/definitions/61.html