本文介绍了通过端口扫描发现漏洞的利用过程，包括访问Joomla管理界面、获取数据库凭证、SSH连接容器及执行反向连接，最终通过内核模块实现容器逃逸，成功反连宿主机。

Docker Desktop 在 Windows 和 macOS 上发现高危漏洞（CVE-2025-9074），允许恶意容器逃逸并获取宿主机管理员权限。该漏洞评分为 9.3，已在 4.44.3 版本中修复。建议用户立即更新软件并加强安全配置。

云原生应用的安全风险与威胁不断显现，错误配置导致的安全问题比安全漏洞更多。容器特权模式和Capabilities配置不当会导致容器逃逸。挂载Docker Socket到容器内也会导致容器逃逸。

发现容器逃逸方法，利用进程的/proc/[pid]/root符号链接，需要ptrace(2)权限检查，防止逃逸需要非root用户运行容器，禁止共享PID namespace，禁止授予CAP_SYS_PTRACE权限，监控/proc/[pid]/root文件访问操作。