Docker Desktop ECI 漏洞 CVE-2026-6406 允许攻击者提升权限

执行摘要

Docker Desktop的增强型容器隔离（ECI）特性存在一个本地权限提升漏洞，跟踪编号为CVE-2026-6406，CVSS评分为8.8，这是根据趋势科技Zero Day Initiative（ZDI）发布的咨询报告。该漏洞允许已经拥有容器内低权限代码执行能力的攻击者提升宿主系统上的权限。ZDI在未公开的日期向Docker披露了这一漏洞，并且尚未发布补丁；该咨询作为ZDI-26-299号公告公开发布。

技术分析

该漏洞位于Docker Desktop的增强型容器隔离机制中，这是一个旨在加强容器边界安全，超越默认Linux命名空间隔离的安全层。ZDI的咨询报告指出，具体问题涉及ECI组件暴露的“一个危险的函数”，可以被首先获得在容器内执行低权限代码能力的本地攻击者触发。

一旦攻击者在容器内获得立足点，他们可以利用CVE-2026-6406逃离容器隔离并获得底层宿主操作系统的更高权限。攻击向量是本地的，意味着攻击者必须已经对运行中的容器有一定程度的访问权限。这不是一个远程代码执行漏洞；这是一个假设容器工作负载已经被初步入侵的权限提升链。

ZDI给漏洞分配了CVSS v3.1基础得分8.8（高），向量字符串表明攻击复杂度低，所需权限低，无需用户交互，并且范围变化——意味着被破坏的组件（容器）与受影响的组件（宿主）不同。机密性、完整性和可用性的影响都被评定为高。

Docker Desktop的ECI特性被引入以提供在共享或多租户宿主上运行的容器更强的隔离，特别是在macOS和Windows上，那里没有原生的Linux容器隔离。该特性使用轻量级虚拟机和额外的内核级保护。CVE-2026-6406通过允许容器逃逸破坏了这些保护，即使ECI被启用。

截至咨询发布日期（2026年4月24日），ZDI指出Docker尚未发布安全更新来解决这一漏洞。咨询没有指明哪些版本的Docker Desktop受到影响，也没有提供技术细节，如概念验证代码或特定函数名称，这是ZDI在供应商补丁之前的标准做法。

缓解措施与建议

在Docker发布修补版的Docker Desktop之前，运行启用增强型容器隔离的容器的组织应该将任何可能被攻击者入侵的容器工作负载视为潜在的宿主入侵向量。防御者应该：

• 限制容器访问：确保只有可信的用户和进程可以在容器内执行代码，特别是在多租户或CI/CD环境中。
• 监控容器逃逸指标：注意不寻常的系统调用、文件系统访问超出预期容器路径，或源自容器进程的宿主上的权限提升尝试。
• 应用最小权限原则：以最小必要的能力运行容器，并尽量避免以root身份运行容器。
• 分割容器工作负载：将敏感或高风险容器隔离在单独的宿主或单独的命名空间中，以限制影响范围。
• 关注Docker安全更新：订阅Docker的安全咨询订阅源，并尽快应用CVE-2026-6406的补丁。