漏洞概述 | |||
漏洞名称 | Docker Compose OCI 路径遍历漏洞 | ||
漏洞编号 | QVD-2025-41687,CVE-2025-62725 | ||
公开时间 | 2025-10-27 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.4 |
威胁类型 | 代码执行、信息泄露 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 已公开 |
危害描述:攻击者通过精心构造的 OCI artifacts(com.docker.compose.extends 或 com.docker.compose.envfile),当用户运行 docker compose ps 等命令时,会突破文件系统目录限制创建或覆盖任意文件。 | |||
01 漏洞详情
影响组件
Docker Compose 是一款流行的容器编排工具,用于定义和运行多容器 Docker 应用程序,广泛应用于开发、测试和生产环境中,助力用户轻松管理复杂的分布式系统。Compose 简化了对整个应用程序堆栈的控制,可以轻松地在一个 YAML 配置文件中管理服务、网络和卷。只需一条命令,即可根据配置文件创建并启动所有服务。OCI artifacts是一种遵循OCI(Open Container Initiative)标准的通用存储格式,允许在OCI注册表中存储任意类型的软件制品,如Helm charts、软件物料清单(SBOM)、数字签名、出处数据、证明和漏洞报告等。
漏洞描述
近日,奇安信CERT监测到官方修复Docker Compose OCI 路径遍历漏洞(CVE-2025-62725),该漏洞源于 Docker Compose 信任远程 OCI artifacts 中嵌入的路径信息。攻击者通过精心构造的 OCI artifacts(com.docker.compose.extends 或 com.docker.compose.envfile),当用户运行 docker compose ps 等命令时,会突破文件系统目录限制创建或覆盖任意文件。目前该漏洞技术细节和POC已在互联网上公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
利用条件
执行恶意 docker-compose.yaml 文件。
02 影响范围
影响版本
Docker Compose < v2.40.2
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Docker Compose OCI 路径遍历漏洞(CVE-2025-62725),截图如下:
04 处置建议
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Docker Compose >= v2.40.2
官方补丁下载地址:
https://github.com/docker/compose/releases/tag/v2.40.2
05 参考资料
[1]https://github.com/docker/compose/security/advisories/GHSA-gv8h-7v7w-r22q
[2]https://github.com/docker/compose/commit/69bcb962bfb2ea53b41aa925333d356b577d6176
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
