Docker Compose OCI路径遍历漏洞 (CVE-2025-62725)
日期:2025-11-02 10:56:53 发布人:信息化建设中心 浏览量:0
一、漏洞概要
漏洞名称 | DockerComposeOCI路径遍历漏洞(CVE-2025-62725) |
发布时间 | 2025年10月30日 |
组件名称 | DockerCompose |
影响范围 | DockerCompose<2.40.2 |
漏洞类型 | 目录遍历 |
利用条件 | 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:中等,需要用户运行DockerCompose命令。 <综合评定威胁等级>:高危,能造成任意文件上传。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1组件介绍
DockerCompose是Docker官方提供的工具,用于通过单一配置文件定义、启动和管理多容器应用程序,简化开发、测试和部署流程。它通过YAML文件统一配置服务、网络和卷等资源,支持一键操作整个应用栈的生命周期。
2.2漏洞描述
2025年10月30日,深瞳漏洞实验室监测到一则DockerCompose组件存在目录遍历漏洞的信息,漏洞编号:CVE-2025-62725,漏洞威胁等级:高危。
DockerCompose对远程OCIartifacts缺乏校验,未经授权的攻击者可以构造恶意OCI,诱导用户运行DockerCompose命令(只读命令同样受影响)触发该漏洞,写入恶意文件,导致服务器失陷。
三、影响范围
目前受影响的DockerCompose版本:
DockerCompose<2.40.2
官方修复建议
官方已发布新版本修复该漏洞,建议您更新DockerCompose到2.40.2版本,完成漏洞的修复。