Kritieke kwetsbaarheid ontdekt in Docker Compose
Een ernstige beveiligingskwetsbaarheid (CVE-2025-62725) is ontdekt in Docker Compose die het mogelijk maakt voor aanvallers om willekeurige bestanden op het host-systeem van gebruikers te overschrijven. Het probleem betreft het vertrouwen van Docker Compose in padinformatie die is ingebed in remote OCI compose artifacts.
De kwetsbaarheid is geclassificeerd met een CVSS-B score van 8.9 (HIGH) en is een vorm van Path Traversal (CWE-22).
Risico op 'Cache Directory Escape'
Wanneer een OCI compose artifact lagen bevat met specifieke annotaties (com.docker.compose.extends of com.docker.compose.envfile), voegt Compose de waarde van de door de aanvaller verstrekte padinformatie samen met zijn lokale cachemap. Hierdoor kan een aanvaller de cachemap ontvluchten (escape) en willekeurige bestanden op de machine overschrijven die Docker Compose uitvoert.
Dit is kritiek omdat de aanval kan worden uitgevoerd zelfs als de gebruiker enkel alleen-lezen commando's uitvoert, zoals docker compose config of docker compose ps.
Impact en oplossing
De kwetsbaarheid treft elk platform en elke workflow die remote OCI compose artifacts verwerkt, inclusief Docker Desktop, standalone Compose-binaries op Linux, CI/CD-runners en cloud dev-omgevingen.
GitHub, Inc. heeft de kwetsbaarheid bevestigd. Gebruikers wordt dringend geadviseerd om onmiddellijk te updaten.
Oplossing: Het probleem is verholpen in Docker Compose v2.40.2.
Meer over Security
Over Witold Kepinski
