4qu4r1um/tugtainer-1.30.2-CVE-2026-55494-and-CVE-2026-62308-to-RCE

GitHub: 4qu4r1um/tugtainer-1.30.2-CVE-2026-55494-and-CVE-2026-62308-to-RCE

该 PoC 通过组合 SSRF 与 Docker 命名空间隔离突破两个漏洞,实现针对 Tugtainer v1.30.2 的 root 级远程代码执行。

Stars: 0 | Forks: 0

## Tugtainer v1.30.2 RCE 该 RCE 是通过利用 2 个漏洞获得的 - [CVE-2026-55494](https://github.com/Quenary/tugtainer/security/advisories/GHSA-wgw2-c96g-p7h7) - [CVE-2026-62308](https://github.com/Quenary/tugtainer/security/advisories/GHSA-c2h5-ppv9-7vrq) 简而言之,通过滥用 SSRF 漏洞,可以调用内部网络中无需身份验证的服务来创建一个与 tugtainer 共享相同 pid 的 docker,从而可以通过 `/proc/1/root` 访问 tugtainer docker 的文件系统。由于创建的 docker 具有 root 级别权限,因此从技术上讲,您在 tugtainer docker 系统上拥有了 root 级别的权限 ## 环境配置 - 使用此仓库中提供的 `docker-compose.yml` 运行 docker compose,或者复制并粘贴以下内容 ``` networks: tugtainer: driver: bridge services: socket-proxy: image: lscr.io/linuxserver/socket-proxy:latest container_name: socket-proxy environment: CONTAINERS: 1 EVENTS: 1 IMAGES: 1 INFO: 1 LOG_LEVEL: warning PING: 1 NETWORKS: 1 POST: 1 TZ: Europe/Moscow VERSION: 1 volumes: - /var/run/docker.sock:/var/run/docker.sock:ro restart: unless-stopped read_only: true tmpfs: - /run networks: - tugtainer labels: dev.quenary.tugtainer.protected: True app: depends_on: - socket-proxy container_name: tugtainer image: ghcr.io/quenary/tugtainer:1.30.2 tmpfs: - /tugtainer:size=100m restart: unless-stopped environment: DOCKER_HOST: tcp://socket-proxy:2375 networks: - tugtainer ports: - '9412:80' labels: dev.quenary.tugtainer.protected: True ``` ## 漏洞利用 - 按如下方式运行 `poc.py` ``` $ python poc.py ``` - 例如 ``` $ python poc.py http://localhost:9412 Admin123! "whoami > /proc/1/root/tmp/pwned" ``` - 上述命令应该会在 tugtainer docker 的 `/tmp` 目录下创建一个名为 `pwned` 的文件 ## 免责声明 - 此概念验证仅用于教育、研究和防御性安全目的。 - 作者对因使用此代码而导致的任何滥用、损害、未经授权的访问、服务中断、数据丢失或法律后果不承担任何责任。用户在使用此 PoC 之前,有责任确保遵守所有适用的法律、法规和授权要求。 - 此 PoC 仅能针对您拥有明确测试权限的系统执行。未经授权的系统测试可能是非法且不道德的。 - 使用此软件即表示您自行承担相关风险。
标签:CISA项目, Docker, Python, Web报告查看器, 安全, 安全防御评估, 容器逃逸, 数据展示, 无后门, 版权保护, 红队, 请求拦截, 超时处理, 逆向工具