КиберосноваSGRC
BDU:2026-07210
Высокий

BDU:2026-07210: Уязвимость программного средства сборки контейнеров BuildKit, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS v37.5
CVSS v27.8
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2026-07210

Описание

Уязвимость программного средства сборки контейнеров BuildKit связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Что делать с BDU:2026-07210

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.8
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:NAV:N/AC:L/Au:N/C:C/I:N/A:N

CWE — тип уязвимости

CWE-22
CWE-59

CVE — международный идентификатор

CVE-2026-33748
CWE-22
Обход каталогов

Позволяет получить доступ к файлам за пределами разрешённой директории через ../ последовательности.

Как атакуют и что делать ▾

Сценарий атаки

Через параметр пути передаётся ../../etc/passwd — сервер возвращает файл за пределами разрешённой директории.

Последствия

Чтение конфигураций, паролей, ключей. В некоторых случаях — запись произвольных файлов.

Рекомендации

Нормализуйте пути (realpath), используйте chroot/jail, запретите ../ в пользовательском вводе.

Тактики и техники

Манипулирование ресурсами

Уязвимое ПО (36)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.OpenShift Container Platform4Не указана
Red Hat Inc.Red Hat Quay3Не указана
Red Hat Inc.Openshift Service Mesh2Не указана
ООО «Ред Софт»РЕД ОС7.3Не указана
Red Hat Inc.Red Hat Openshift Data Foundation4Не указана
Red Hat Inc.Red Hat OpenShift GitOps-Не указана
Red Hat Inc.OpenShift Developer Tools and Services-Не указана
Red Hat Inc.Node HealthCheck Operator-Не указана
Red Hat Inc.Network Observability Operator-Не указана
Red Hat Inc.Migration Toolkit for Virtualization-Не указана
Red Hat Inc.OpenShift Serverless-Не указана
Red Hat Inc.OpenShift Dev Spaces-Не указана
Red Hat Inc.Migration Toolkit for Containers-Не указана
Red Hat Inc.OpenShift API for Data Protection-Не указана
Red Hat Inc.Logging subsystem for Red Hat OpenShift-Не указана
Red Hat Inc.multicluster engine for Kubernetes-Не указана
Red Hat Inc.Red Hat OpenStack Platform18.0Не указана
Red Hat Inc.Red Hat Advanced Cluster Management for Kubernetes 2-Не указана
Red Hat Inc.Red Hat Enterprise Linux10Не указана
Red Hat Inc.Openshift Service Mesh3Не указана
Red Hat Inc.Confidential Compute Attestation-Не указана
Red Hat Inc.Assisted Installer for Red Hat OpenShift Container Platform2Не указана
ООО «Ред Софт»РЕД ОС8.0Не указана
Red Hat Inc.Red Hat Trusted Artifact Signer1.3Не указана
Red Hat Inc.Ansible Automation Platform2Не указана
Red Hat Inc.Red Hat OpenShift AI-Не указана
Red Hat Inc.Openshift Service Mesh3.1Не указана
Red Hat Inc.Openshift Service Mesh3.2Не указана
Red Hat Inc.Migration Toolkit for Applications8Не указана
Docker Inc.BuildKitдо 0.28.1Не указана
Red Hat Inc.Red Hat Build of Podman Desktop-Не указана
Red Hat Inc.Logical Volume Manager Storage-Не указана
Red Hat Inc.Power monitoring for Red Hat OpenShift-Не указана
Red Hat Inc.Kernel Module Management Operator for Red Hat Openshift-Не указана
Red Hat Inc.Red Hat Build of Kueue-Не указана
Red Hat Inc.Red Hat Build of Podman DesktopTech PreviewНе указана

Среды функционирования (3)

ВендорНазваниеВерсияПлатформа
ООО «Ред Софт»РЕД ОС7.3Не указана
Red Hat Inc.Red Hat Enterprise Linux10Не указана
ООО «Ред Софт»РЕД ОС8.0Не указана

Рекомендации по устранению

Использование рекомендаций: Для BuildKit: https://github.com/moby/buildkit/security/advisories/GHSA-4vrq-3vrq-g6gg Для РедОС: https://redos.red-soft.ru/search/?iblock_id=&q=CVE-2026-33748 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2026-33748

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации0.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2026-03-27

Опубликована

2026-05-25

Обновлена

2026-05-25

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2026-33748 MITRE: CWE-22 Каталог CPE (ФСТЭК) Реестр сертифицированных СЗИ ФСТЭК

Связанные уязвимости

BDU:2026-07251
Высокий
7.5

Уязвимость языка программирования Go, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая

BDU:2026-07253
Средний
6.1

Уязвимость языка программирования Go, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушите

BDU:2026-07246
Высокий
7.5

Уязвимость языка программирования Go, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать

BDU:2026-07247
Средний
5.5

Уязвимость языка программирования Go, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать

BDU:2026-07254
Высокий
7.5

Уязвимость компонента crypto-x509 языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0