事件经过
NVD 于 2026-06-23 发布了五个 Daytona CVE,涵盖 AI 代码执行运行时的授权缺陷:未验证的电子邮件组织邀请接受 (CVSS 8.4)、角色管理中的跨租户 IDOR (CVSS 7.7)、经过身份验证的 Git 克隆期间禁用的 TLS 证书验证 (CVSS 5.9)、没有租户隔离的 WebSocket 通知频道 (CVSS 6.5) 和沙箱挂载中的卷路径遍历 (CVSS 4.2)。
影响分析
Daytona 是为 AI 生成代码执行和代理工作流的安全基础设施目的构建的。这里的授权失败直接破坏了使 AI 代码执行安全的沙箱隔离。通过 git 克隆期间的 TLS 绕过进行的凭证盗窃特别危险,因为它针对用于访问包含 AI 代理代码的私有仓库的凭证。
攻击途径
多个向量:(1) 未验证的电子邮件可以接受组织邀请,获得对 AI 执行环境的访问 (CVE-2026-54320);(2) 组织角色更新/删除端点通过请求体而不是 URL 路径解析目标,启用跨组织 IDOR 权限升级 (CVE-2026-54322);(3) 带有凭证的 Git 克隆禁用 TLS 验证,通过 MitM 启用凭证盗窃 (CVE-2026-54323);(4) 通知 WebSocket 没有租户隔离,允许跨组织数据泄露 (CVE-2026-54324);(5) 沙箱挂载中的卷路径遍历 (CVE-2026-54319)
受影响系统
Daytona < 0.184.0 (CVE-2026-54320)、< 0.185.0 (CVE-2026-54322、CVE-2026-54323、CVE-2026-54324)、< 0.186 (CVE-2026-54319)
缓解措施
按 CVE 升级 Daytona 到最新版本:CVE-2026-54320 的 0.184.0+;CVE-2026-54322/54323/54324 的 0.185.0+;CVE-2026-54319 的 0.186+。公告在 https://github.com/daytonaio/daytona/security/advisories/