4qu4r1um/tugtainer-1.30.2-CVE-2026-55494-and-CVE-2026-62308-to-RCE
GitHub: 4qu4r1um/tugtainer-1.30.2-CVE-2026-55494-and-CVE-2026-62308-to-RCE
该 PoC 通过组合 SSRF 与 Docker 命名空间隔离突破两个漏洞,实现针对 Tugtainer v1.30.2 的 root 级远程代码执行。
Stars: 0 | Forks: 0
## Tugtainer v1.30.2 RCE
该 RCE 是通过利用 2 个漏洞获得的
- [CVE-2026-55494](https://github.com/Quenary/tugtainer/security/advisories/GHSA-wgw2-c96g-p7h7)
- [CVE-2026-62308](https://github.com/Quenary/tugtainer/security/advisories/GHSA-c2h5-ppv9-7vrq)
简而言之,通过滥用 SSRF 漏洞,可以调用内部网络中无需身份验证的服务来创建一个与 tugtainer 共享相同 pid 的 docker,从而可以通过 `/proc/1/root` 访问 tugtainer docker 的文件系统。由于创建的 docker 具有 root 级别权限,因此从技术上讲,您在 tugtainer docker 系统上拥有了 root 级别的权限
## 环境配置
- 使用此仓库中提供的 `docker-compose.yml` 运行 docker compose,或者复制并粘贴以下内容
```
networks:
tugtainer:
driver: bridge
services:
socket-proxy:
image: lscr.io/linuxserver/socket-proxy:latest
container_name: socket-proxy
environment:
CONTAINERS: 1
EVENTS: 1
IMAGES: 1
INFO: 1
LOG_LEVEL: warning
PING: 1
NETWORKS: 1
POST: 1
TZ: Europe/Moscow
VERSION: 1
volumes:
- /var/run/docker.sock:/var/run/docker.sock:ro
restart: unless-stopped
read_only: true
tmpfs:
- /run
networks:
- tugtainer
labels:
dev.quenary.tugtainer.protected: True
app:
depends_on:
- socket-proxy
container_name: tugtainer
image: ghcr.io/quenary/tugtainer:1.30.2
tmpfs:
- /tugtainer:size=100m
restart: unless-stopped
environment:
DOCKER_HOST: tcp://socket-proxy:2375
networks:
- tugtainer
ports:
- '9412:80'
labels:
dev.quenary.tugtainer.protected: True
```
## 漏洞利用
- 按如下方式运行 `poc.py`
```
$ python poc.py
```
- 例如
```
$ python poc.py http://localhost:9412 Admin123! "whoami > /proc/1/root/tmp/pwned"
```
- 上述命令应该会在 tugtainer docker 的 `/tmp` 目录下创建一个名为 `pwned` 的文件
## 免责声明
- 此概念验证仅用于教育、研究和防御性安全目的。
- 作者对因使用此代码而导致的任何滥用、损害、未经授权的访问、服务中断、数据丢失或法律后果不承担任何责任。用户在使用此 PoC 之前,有责任确保遵守所有适用的法律、法规和授权要求。
- 此 PoC 仅能针对您拥有明确测试权限的系统执行。未经授权的系统测试可能是非法且不道德的。
- 使用此软件即表示您自行承担相关风险。
标签:CISA项目, Docker, Python, Web报告查看器, 安全, 安全防御评估, 容器逃逸, 数据展示, 无后门, 版权保护, 红队, 请求拦截, 超时处理, 逆向工具