Docker Compose高危路径遍历漏洞,执行只读命令即可覆写任意文件(CVE-2025-62725)
内容提要
Docker Compose披露了高危路径遍历漏洞(CVE-2025-62725),影响Docker Desktop及CI/CD环境。攻击者可利用该漏洞覆写主机文件。Docker已在v2.40.2版本中修复此漏洞。
关键要点
-
Docker Compose披露了高危路径遍历漏洞(CVE-2025-62725),CVSS v4评分8.9。
-
该漏洞影响Docker Desktop用户、独立Compose二进制文件用户、CI/CD流水线及云开发环境。
-
攻击者可利用该漏洞覆写主机系统上的任意文件。
-
漏洞利用无需构建或运行容器,仅通过执行只读命令即可触发。
-
处理不受信任OCI Compose文件的开发人员或自动化流水线面临重大风险。
-
漏洞根源在于Docker Compose处理OCI构件层及其注解的方式。
-
Docker已在v2.40.2版本中修复此漏洞,引入更严格的注解路径验证和清理机制。
延伸解读
漏洞影响范围广泛
CVE-2025-62725漏洞影响的不仅是Docker Desktop用户,还包括使用独立Compose二进制文件的开发者和CI/CD流水线。这意味着在多种环境中,开发者都需提高警惕,确保不受信任的OCI Compose文件不会被错误地解析和执行。
只读命令的潜在风险
该漏洞的一个关键特性是攻击者可以仅通过执行只读命令(如docker compose config或docker compose ps)来触发。这使得即使是常规的配置验证操作也可能成为攻击的入口,开发者在使用这些命令时需格外小心,避免潜在的安全隐患。
修复措施与更新重要性
Docker已在v2.40.2版本中修复了该漏洞,增加了更严格的注解路径验证和清理机制。用户应尽快更新到最新版本,以防止潜在的攻击风险。保持软件更新是确保系统安全的重要措施,尤其是在发现高危漏洞后。
延伸问答
CVE-2025-62725漏洞的影响范围是什么?
该漏洞影响Docker Desktop用户、独立Compose二进制文件用户、CI/CD流水线及云开发环境。
攻击者如何利用CVE-2025-62725漏洞?
攻击者可以通过执行只读命令,如docker compose config或docker compose ps,诱使Compose覆写主机系统上的任意文件。
Docker如何修复CVE-2025-62725漏洞?
Docker在v2.40.2版本中修复了该漏洞,引入了更严格的注解路径验证和清理机制。
CVE-2025-62725的CVSS评分是多少?
该漏洞的CVSS v4评分为8.9。
CVE-2025-62725漏洞的根源是什么?
漏洞根源在于Docker Compose处理OCI构件层及其注解的方式,特别是对某些注解值的隐式信任。
处理不受信任OCI Compose文件的开发人员面临什么风险?
他们面临重大风险,因为攻击者可以利用该漏洞覆写运行docker compose的机器上的任意文件。
