漏洞概述
漏洞名称
Docker Desktop 未授权访问漏洞
漏洞编号
QVD-2025-32312,CVE-2025-9074
公开时间
2025-08-20
影响量级
万级
奇安信评级
高危
CVSS 3.1分数
7.8
威胁类型
代码执行、信息泄露
利用可能性
高
POC状态
已公开
在野利用状态
未发现
EXP状态
技术细节状态
未公开
危害描述:攻击者可以向 API 发送请求,执行控制其他容器、创建新容器、管理镜像等特权命令。在某些环境下(如 Docker Desktop for Windows 的 WSL 后端),可进一步挂载宿主机磁盘,完全控制宿主机文件系统。
影响组件
Docker Desktop是Docker官方提供的一款桌面端应用,支持macOS、Windows和Linux系统。它集成了Docker Engine、Docker CLI、Docker Compose等核心组件,并支持WSL 2后端、Kubernetes集群等功能。用户可通过图形界面或命令行高效管理容器、镜像和网络资源。
漏洞描述
影响版本
其他受影响组件
无
目前,奇安信威胁情报中心安全研究员已成功复现Docker Desktop 未授权访问漏洞(CVE-2025-9074),截图如下:
安全更新
[1]https://docs.docker.com/desktop/release-notes/#4443
文章来源:奇安信CERT
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
