Критическая уязвимость в Docker Desktop для Windows, обозначенная как CVE-2025-9074, позволяла злоумышленникам получить полный контроль над хост-системой через атаку типа Server-Side Request Forgery (SSRF). Уязвимость была устранена в версии 4.44.3, выпущенной в августе 2025 года. Эксперты оценивают её уровень опасности как критический, с предполагаемым баллом CVSS 9.0 и выше.
Детали уязвимости
Проблема заключалась в том, что внутренний HTTP-API Docker был доступен по адресу http://192.168.65.7:2375/ без какой-либо аутентификации или контроля доступа. Этот эндпоинт мог быть использован из любого контейнера, запущенного в уязвимой версии Docker Desktop, что нарушало границы безопасности между контейнерами и хост-системой.
Для эксплуатации уязвимости злоумышленнику достаточно было отправить два HTTP POST-запроса из контейнера. Первый запрос создавал привилегированный контейнер с монтированным диском C: хост-системы, а второй запускал этот контейнер. Такая простая цепочка действий предоставляла полный доступ к файловой системе и ресурсам Windows-хоста, обходя механизмы изоляции Docker.
Исследователь, обнаруживший уязвимость, наткнулся на неё случайно во время проведения сетевой разведки в контейнерной среде. Использование базовых инструментов сканирования сети, таких как nmap, против документированных частных сетевых диапазонов Docker выявило открытый API-эндпоинт.
Последствия уязвимости были крайне серьёзными. Любая рабочая нагрузка в контейнере потенциально могла скомпрометировать всю хост-систему, даже без необходимости выполнения кода внутри контейнера. Это особенно опасно в сценариях, когда злоумышленники получают возможность SSRF-атак через веб-приложения, работающие в контейнерах.
Уязвимость также затронула Docker Desktop для Mac. Сходная проблема была идентифицирована исследователем безопасности Филиппом Дюгром из Pvotal Technologies, что привело к присвоению общего идентификатора CVE.
Компания Docker оперативно отреагировала на сообщение об уязвимости, выпустив исправление в версии 4.44.3. Пользователям настоятельно рекомендуется немедленно обновить свои installation Docker Desktop до последней версии, чтобы устранить риски. На момент публикации информации не было зафиксировано случаев эксплуатации уязвимости после выхода патча.
CVE-2025-9074 служит напоминанием о том, что даже внутренние API могут представлять значительные риски безопасности при отсутствии proper контроля доступа. Хотя быстрое реагирование Docker демонстрирует хорошие практики управления уязвимостями, этот случай underscores важность comprehensive security assessments для контейнерных платформ и необходимости proper network isolation в контейнеризованных средах.
Организациям, использующим Docker Desktop для Windows, следует prioritise обновление до версии 4.44.3 или новее, а также пересмотреть свои политики безопасности контейнеров для предотвращения similar scenarios exposure.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-9074
- https://www.cve.org/CVERecord?id=CVE-2025-9074
- https://docs.docker.com/desktop/release-notes/#4443
