CVE-2024-23653 — 神龙十问 AI 深度分析摘要

🚨 **本质**：BuildKit 权限提升漏洞。 💥 **后果**：攻击者可通过 API 以更高权限运行容器，彻底打破隔离边界。

🔍 **CWE**：CWE-863（不正确的权限检查）。 🐛 **缺陷**：构建过程中权限校验逻辑存在疏漏，导致特权操作被绕过。

📦 **厂商**：Moby。 🏷️ **产品**：BuildKit。 📅 **版本**：**v0.12.4 及之前版本**均受影响。

👑 **权限**：可提升权限运行容器（Privilege Escalation）。 📂 **数据**：可能泄露容器内敏感数据或控制宿主机资源。

🔓 **门槛**：低。 📝 **配置**：无需认证（PR:N），攻击复杂度低（AC:L），无需用户交互（UI:N）。

💣 **PoC**：有！GitHub 已公开利用代码。 📜 **链接**：`github.com/666asd/CVE-2024-23653`，通过自定义 Dockerfile 即可复现。

🔎 **自查**：检查 CI/CD 环境中 BuildKit 版本。 📊 **特征**：若版本 ≤ v0.12.4，且允许用户自定义构建上下文，即存在风险。

🛡️ **已修复**：官方已发布补丁。 ✅ **版本**：升级至 **v0.12.5** 或更高版本即可解决。

⚠️ **临时规避**：若无法立即升级，请限制用户自定义 Dockerfile 的能力，或禁用不信任的构建前端。

🔥 **优先级**：高！ 💡 **建议**：CVSS 评分极高（H/H/H），且 PoC 公开，建议**立即升级**至 v0.12.5+。