Saltar al contenido principal

Docker socket abuse

/var/run/docker.sock montado dentro del container o en host con permisos de grupo docker para usuario raso.

Categoría: Linux · Privilege Escalation 🎯 Trinchera/var/run/docker.sock montado dentro del container o en host con permisos de grupo docker para usuario raso. El socket equivale a root: lanzas un container que monta / del host y chroot, fin del juego. 🔗 Kill chaindocker run -v /:/host -it alpine chroot /host bash → shell root del host. Variante: usuario en grupo docker siempre = root vía esto. 📡 Huella defensiva — Containers con bind mount de /, miembros nuevos del grupo docker, dockerd recibiendo solicitudes desde container. ⚠️ Falso amigo--privileged no es necesario; sólo el bind del socket basta. 🛡️ Remediación — Nunca grupo docker para usuarios no-admin, no montar docker.sock en containers, usar Podman rootless o Sysbox.
Volver al glosario completo Última actualización: 2026-06-11