Windows和macOS版Docker Desktop中的一个严重漏洞(CVE-2025-9074)。该漏洞允许恶意容器逃逸并获得主机管理员访问权限。

Docker Desktop是一款广受开发者喜爱的应用程序，该程序中的一个安全漏洞已被修复。此前，该漏洞被发现允许攻击者突破隔离容器并完全控制计算机。该漏洞的官方编号为CVE-2025-9074，严重评分为9.3（满分10分），影响Windows和macOS版本的Docker软件。

该漏洞已于2025年8月20日在Docker Desktop 4.44.3版本中修复，该漏洞允许容器内运行的恶意程序未经授权访问主机。需要注意的是，容器是将应用程序与主机系统隔离的隔离环境，但此安全问题绕过了这种保护措施。

问题在于，Docker引擎的内部通信系统（一种称为HTTP API的网址）未经任何安全检查就暴露了。这意味着带有恶意代码的容器可以连接到该API，创建具有特殊“特权”权限的新容器，然后访问主机文件。攻击者随后可以修改系统以获得管理员级别的控制权。这就是所谓的“容器逃逸”或“容器突破”漏洞。

该漏洞极其严重，即使用户开启了Docker的增强容器隔离(ECI)功能（该功能旨在阻止此类攻击），漏洞依然有效。在Windows系统上，攻击者甚至可以利用此漏洞覆盖重要的系统文件，进而控制整台计算机。

Docker迅速在4.44.3版本中发布了补丁修复该问题，并表示该漏洞已得到解决，可防止恶意容器访问Docker Engine并启动其他容器。

此次事件提醒所有使用Docker Desktop的用户务必保持警惕。为了确保安全，首先，请将所有软件（包括Docker Desktop）更新至4.44.3版本。其次，请强化设置，避免使用过于宽松的配置（例如–privileged命令），并限制容器的访问权限。最后，请持续监控系统中是否存在任何可疑活动（例如异常的资源使用情况），以检测恶意程序。

“在不接触主机系统的情况下运行隔离环境和应用程序时，Docker Desktop是一个非常有用的工具，而这个漏洞实际上突破了这一界限，让恶意用户能够探索主机文件系统，而这本应是容器无法触及的范围，”总部位于马萨诸塞州伯灵顿的应用程序安全解决方案提供商Black Duck的高级顾问Nivedita Murthy女士说。

她指出：“开发者社区在其系统上大量使用Docker Desktop，这些系统主要为Windows系统，有时也包括Mac系统。” “IT团队应该推动更新，并提醒所有用户立即升级。他们还应该主动搜索组织资产中已安装的Docker版本，并根据需要删除或升级这些版本，以确保组织能够以值得信赖的速度交付开发成果。” Nivedita建议道。