Nach einem Bericht des Forschers Vladimir Tokarev von den Cyera Research Labs liegt die Ursache darin, dass die Korrektur von CVE-2024-41110 überdimensionierte HTTP-Anfragekörper nicht korrekt behandelte. Dadurch lässt sich mit einer einzigen aufgeblähten HTTP-Anfrage ein privilegierter Container mit Zugriff auf das Dateisystem des Hosts erzeugen.
In einem möglichen Angriffsszenario verfügt ein Angreifer über Docker-API-Zugriff, der durch ein AuthZ-Plugin eingeschränkt ist. Er kann den Mechanismus aushebeln, indem er eine Anfrage zur Container-Erstellung auf über 1 MB aufbläht — der Anfragekörper wird dann verworfen, bevor er das Plugin erreicht. „Das Plugin lässt die Anfrage zu, weil es nichts sieht, was es blockieren müsste", erklärte Tokarev in einem Bericht, der The Hacker News vorlag. Der Docker-Daemon verarbeite die vollständige Anfrage und erzeuge einen privilegierten Container mit Root-Zugriff auf den Host — und damit auf AWS-Zugangsdaten, SSH-Schlüssel, Kubernetes-Konfigurationen und alles Übrige auf der Maschine. Laut Tokarev funktioniert das gegen jedes AuthZ-Plugin im Ökosystem.
Tokarev beschreibt darüber hinaus ein Szenario mit KI-gestützten Programmierwerkzeugen. Ein KI-Coding-Agent wie OpenClaw, der in einer Docker-basierten Sandbox läuft, lässt sich über eine in einem präparierten GitHub-Repository versteckte Prompt-Injection dazu bringen, Schadcode auszuführen. Dieser nutzt CVE-2026-34040, um die Autorisierung nach dem beschriebenen Muster zu umgehen, einen privilegierten Container zu erstellen und das Host-Dateisystem einzubinden. Mit diesem Zugriff kann der Angreifer Zugangsdaten für Cloud-Dienste abgreifen und damit Cloud-Konten und Kubernetes-Cluster übernehmen oder sich per SSH auf Produktionsserver verbinden.
Cyera warnt zudem, dass KI-Agenten den Umgehungsweg auch selbstständig finden können. Stößt ein Agent bei einer legitimen Debugging-Aufgabe — etwa der Analyse eines Out-of-Memory-Problems in Kubernetes — auf Fehler beim Zugriff auf Dateien wie kubeconfig, kann er von sich aus eine aufgeblähte HTTP-Anfrage konstruieren. Ein präpariertes Repository mit Schadanweisungen ist dafür nicht mehr nötig. „CVE-2026-34040 erfordert keinen Exploit-Code, keine Privilegien und keine speziellen Werkzeuge. Es ist eine einzelne HTTP-Anfrage mit zusätzlicher Auffüllung. Jeder Agent, der die Docker-API-Dokumentation lesen kann, kann sie zusammenbauen", so Cyera.
Als vorübergehende Gegenmaßnahmen wird empfohlen, auf AuthZ-Plugins zu verzichten, die ihre Sicherheitsentscheidungen auf die Auswertung des Anfragekörpers stützen, den Zugriff auf die Docker-API nach dem Prinzip der geringsten Rechte auf vertrauenswürdige Parteien zu beschränken oder Docker im rootless-Modus zu betreiben. „Im rootless-Modus wird selbst der ‚Root’ eines privilegierten Containers auf eine unprivilegierte Host-UID abgebildet", erklärte Tokarev. Der Schaden reduziere sich damit von einer vollständigen Host-Kompromittierung auf die eines unprivilegierten Nutzers. Wo ein vollständiger Wechsel in den rootless-Modus nicht möglich ist, biete –userns-remap eine vergleichbare UID-Abbildung.
