Vulnerabilidad en Docker Model Runner (DMR) (CVE-2026-28400)

Docker Model Runner (DMR) es un software utilizado para gestionar, ejecutar e implementar modelos de IA usando Docker. Las versiones anteriores a la 1.0.16 exponen un endpoint POST `/engines/_configure` que acepta flags de tiempo de ejecución arbitrarios sin autenticación. Estos flags se pasan directamente al servidor de inferencia subyacente (llama.cpp). Al inyectar el flag --log-file, un atacante con acceso de red a la API de Model Runner puede escribir o sobrescribir archivos arbitrarios accesibles para el proceso de Model Runner. Cuando se incluye con Docker Desktop (donde Model Runner está habilitado por defecto desde la versión 4.46.0), es accesible desde cualquier contenedor predeterminado en model-runner.docker.internal sin autenticación. En este contexto, la sobrescritura de archivos puede apuntar al disco de la VM de Docker Desktop ('Docker.raw'), lo que resulta en la destrucción de todos los contenedores, imágenes, volúmenes e historial de compilación. Sin embargo, en configuraciones específicas y con interacción del usuario, es posible convertir esta vulnerabilidad en un escape de contenedor. El problema está solucionado en Docker Model Runner 1.0.16. Los usuarios de Docker Desktop deben actualizar a la versión 4.61.0 o posterior, que incluye el Model Runner corregido. Una solución alternativa está disponible. Para los usuarios de Docker Desktop, habilitar el Aislamiento Mejorado de Contenedores (ECI) bloquea el acceso de los contenedores a Model Runner, evitando la explotación. Sin embargo, si Docker Model Runner está expuesto a localhost a través de TCP en configuraciones específicas, la vulnerabilidad sigue siendo explotable.