Docker Desktop < 4.44.3 容器逃逸
critical Nessus 插件 ID 258110
语言:
简介
远程主机安装有受容器逃逸漏洞影响的应用程序。描述
Docker Desktop 的版本低于 4.44.3。因而受到容器逃逸漏洞的影响。此漏洞允许本地运行的 Linux 容器通过配置的 Docker 子网访问 Docker Engine API默认为 192.168.65.7:2375。无论是否启用 Enhanced Container Isolation (ECI),也无论是否启用“在没有 TLS 的情况下在 tcp://localhost:2375 上暴露后台程序”选项都会出现此漏洞。这可导致对引擎 API 执行多种特权命令包括控制其他容器、创建新容器、管理图像等。在某些情况下(例如具有 WSL 后端的 Docker Desktop for Windows),它还允许使用与运行 Docker Desktop 的用户相同的权限挂载主机驱动器。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级至 Docker Desktop 版本 4.44.3 或更高版本另见
插件详情
严重性: Critical
ID: 258110
文件名: docker_cve-2025-9074.nasl
版本: 1.2
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2025/8/29
最近更新时间: 2025/8/30
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 10.0
CVSS v2
风险因素: High
基本分数: 7.2
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-9074
CVSS v3
风险因素: Critical
基本分数: 9.3
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS v4
风险因素: Critical
Base Score: 9.3
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
漏洞信息
CPE: cpe:/a:docker:docker
补丁发布日期: 2025/8/20
漏洞发布日期: 2025/8/20
参考资料信息
CVE: CVE-2025-9074
IAVA: 2025-A-0633