Windows 和 macOS 版本的 Docker Desktop 存在一个严重漏洞,即使用户开启了增强容器隔离(ECI)保护,攻击者也能通过运行恶意容器入侵主机系统。
该安全问题属于服务器端请求伪造(SSRF)漏洞,编号为CVE-2025-9074,被评定为严重级别,评分高达 9.3。
Docker 的公告中提到:“运行在 Docker Desktop 上的恶意容器,无需挂载 Docker 套接字,就能访问 Docker 引擎并启动更多容器。这可能导致攻击者未经授权访问主机系统上的用户文件,且增强容器隔离(ECI)无法缓解此漏洞。
安全研究员兼漏洞赏金猎人菲利克斯・布莱发现,在任何运行中的容器内部,都能通过 “http://192.168.65.7:2375/” 地址未经身份验证地访问 Docker 引擎 API。
这位研究员演示了如何通过两个 wget HTTP POST 请求,创建并启动一个新容器,将 Windows 主机的 C: 盘挂载到该容器的文件系统中。而且,布莱的PoC漏洞利用代码并不需要在容器内部拥有代码执行权限。
Pvotal Technologies 公司的 DevSecOps 工程师、NorthSec 网络安全大会的挑战设计员菲利普・杜格雷证实,该漏洞影响 Windows 和 macOS 版本的 Docker Desktop,但对 Linux 版本没有影响。
杜格雷表示,由于操作系统本身的安全机制,该漏洞在 macOS 上的危险性相对较低。他在测试中能够在 Windows 系统的用户主目录中创建文件,但在 macOS 上如果没有用户授权则无法实现这一操作。
“在 Windows 系统上,由于 Docker 引擎通过 WSL2 运行,攻击者可以以管理员权限挂载整个文件系统,读取任何敏感文件,最终甚至能通过覆盖系统 DLL 文件将权限提升至主机系统管理员,” 菲利普・杜格雷说道。
“然而,在 macOS 系统上,Docker Desktop 应用程序仍有一层隔离机制,尝试挂载用户目录时会提示用户授权。默认情况下,Docker 应用程序无法访问文件系统的其他部分,也不以管理员权限运行,因此相比 Windows 系统,macOS 主机要安全得多。”
不过,这位研究员也提醒,即便是在 macOS 上,仍存在恶意活动的空间。因为攻击者可以完全控制应用程序和容器,这就存在在无需授权的情况下植入后门或修改配置的风险。
杜格雷指出,该漏洞很容易被利用,他开发的漏洞利用代码仅用三行 Python 代码就得以实现。
该漏洞已被负责任地报告给 Docker 公司,Docker 迅速响应,并在上周发布的 Docker Desktop 4.44.3 版本中修复了此问题。