Celah keamanan serius dengan kode CVE-2026-34040 ditemukan pada Docker Engine yang memungkinkan attacker melewati kontrol keamanan dan berpotensi mengambil alih sistem host. Kerentanan ini berdampak pada sistem yang menggunakan authorization plugin (AuthZ) untuk mengatur akses pada lingkungan container.

Masalah ini terjadi ketika attacker mengirim request API dengan payload berukuran besar. Karena cara Docker memproses request tersebut, payload bisa tidak terverifikasi oleh plugin keamanan, sehingga permintaan dianggap aman padahal berbahaya. Hal ini memungkinkan attacker membuat container dengan hak akses tinggi dan mengakses data sensitif seperti credential, SSH key, hingga konfigurasi cloud.

Risiko ini semakin tinggi pada lingkungan enterprise yang menggunakan Docker untuk CI/CD atau sistem multi-user. Dengan akses terbatas sekalipun, attacker dapat melewati kontrol keamanan dan melakukan aksi tanpa izin yang berujung pada kompromi sistem secara penuh.

Kerentanan ini sudah diperbaiki pada Docker Engine versi 29.3.1. Pengguna disarankan segera melakukan update, membatasi akses ke Docker API, serta tidak hanya mengandalkan plugin authorization sebagai lapisan keamanan utama.

source: https://thehackernews.com/2026/04/docker-cve-2026-34040-lets-attackers.html