CVE-2026-28400

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-28400
Docker Model Runner (DMR) is software used to manage, run, and deploy AI models using Docker. Versions prior to 1.0.16 expose a POST `/engines/_configure` endpoint that accepts arbitrary runtime flags without authentication. These flags are passed directly to the underlying inference server (llama.cpp). By injecting the --log-file flag, an attacker with network access to the Model Runner API can write or overwrite arbitrary files accessible to the Model Runner process. When bundled with Docker Desktop (where Model Runner is enabled by default since version 4.46.0), it is reachable from any default container at model-runner.docker.internal without authentication. In this context, the file overwrite can target the Docker Desktop VM disk (`Docker.raw` ), resulting in the destruction of all containers, images, volumes, and build history. However, in specific configurations and with user interaction, it is possible to convert this vulnerability in a container escape. The issue is fixed in Docker Model Runner 1.0.16. Docker Desktop users should update to 4.61.0 or later, which includes the fixed Model Runner. A workaround is available. For Docker Desktop users, enabling Enhanced Container Isolation (ECI) blocks container access to Model Runner, preventing exploitation. However, if the Docker Model Runner is exposed to localhost over TCP in specific configurations, the vulnerability is still exploitable.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 0.8 / Impact : 6.0

Attack Vector LOCAL

Attack Complexity HIGH

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope CHANGED

References
Link Resource
https://github.com/docker/model-runner/security/advisories/GHSA-m456-c56c-hh5c
https://www.zerodayinitiative.com/advisories/ZDI-CAN-28379
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Docker Model Runner (DMR) es un software utilizado para gestionar, ejecutar e implementar modelos de IA usando Docker. Las versiones anteriores a la 1.0.16 exponen un endpoint POST `/engines/_configure` que acepta flags de tiempo de ejecución arbitrarios sin autenticación. Estos flags se pasan directamente al servidor de inferencia subyacente (llama.cpp). Al inyectar el flag --log-file, un atacante con acceso de red a la API de Model Runner puede escribir o sobrescribir archivos arbitrarios accesibles para el proceso de Model Runner. Cuando se incluye con Docker Desktop (donde Model Runner está habilitado por defecto desde la versión 4.46.0), es accesible desde cualquier contenedor predeterminado en model-runner.docker.internal sin autenticación. En este contexto, la sobrescritura de archivos puede apuntar al disco de la VM de Docker Desktop ('Docker.raw'), lo que resulta en la destrucción de todos los contenedores, imágenes, volúmenes e historial de compilación. Sin embargo, en configuraciones específicas y con interacción del usuario, es posible convertir esta vulnerabilidad en un escape de contenedor. El problema está solucionado en Docker Model Runner 1.0.16. Los usuarios de Docker Desktop deben actualizar a la versión 4.61.0 o posterior, que incluye el Model Runner corregido. Una solución alternativa está disponible. Para los usuarios de Docker Desktop, habilitar el Aislamiento Mejorado de Contenedores (ECI) bloquea el acceso de los contenedores a Model Runner, evitando la explotación. Sin embargo, si Docker Model Runner está expuesto a localhost a través de TCP en configuraciones específicas, la vulnerabilidad sigue siendo explotable.

27 Feb 2026, 22:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-02-27 22:16

Updated : 2026-04-15 00:35

NVD link : CVE-2026-28400

Mitre link : CVE-2026-28400

CVE.ORG link : CVE-2026-28400

JSON object : View

Products Affected

No product.

CWE
CWE-749

Exposed Dangerous Method or Function