高危漏洞CVE-2025-9074威胁Docker桌面版，恶意容器可访问宿主机系统

容器隔离防线被突破， Docker紧急发布安全更新

近日，网络安全研究人员发现Docker桌面版存在一个严重的安全漏洞（CVE-2025-9074），恶意容器可利用此漏洞绕过安全限制，直接访问宿主机系统。这一漏洞动摇了容器隔离技术的安全基础，对广泛使用Docker的开发和生产环境构成严重威胁。

漏洞详情与技术分析

CVE-2025-9074是一个影响Docker桌面版的关键安全漏洞，主要影响在本地运行Linux容器的环境。该漏洞的核心问题在于：恶意容器能够通过预配置的子网（默认地址：192.168.65.7:2375）直接访问Docker引擎API，而无需挂载Docker socket。

漏洞机制：攻击者可以利用此漏洞向Docker引擎API发送特权命令，从而启动额外容器并操纵Docker环境。在采用WSL后端的Windows环境中，攻击者甚至能够挂载主机驱动器，并以运行Docker桌面的用户权限访问敏感用户文件。

令人担忧的是，现有的增强容器隔离（ECI）功能也无法有效防御此攻击向量，即使禁用了“在tcp://localhost:2375上无TLS暴露守护进程”设置，该漏洞仍然可利用。

影响范围与风险等级

该漏洞影响所有运行Linux容器的Docker桌面版用户，无论其安全配置如何。攻击者成功利用此漏洞可能导致：

1. 未授权访问：攻击者可控制宿主机文件系统
2. 权限提升：在宿主机上执行特权命令
3. 横向移动：操纵其他容器和Docker镜像
4. 数据泄露：访问敏感文件和配置信息

对于企业环境，这意味着开发人员的本地机器可能成为攻击者进入企业网络的跳板，造成严重的安全后果。

解决方案与修复措施

Docker团队迅速响应，于2025年8月20日发布了Docker桌面版4.44.3，专门修复了CVE-2025-9074漏洞。

立即行动建议：

1. 升级到最新版本：所有用户应立即升级到Docker桌面版4.44.3或更高版本
2. 检查当前版本：运行 docker version 命令验证当前安装的版本
3. 监控异常活动：检查系统是否存在可疑的容器活动或未授权的访问尝试

版本支持说明：需要注意的是，Docker桌面版有个长期支持策略——比最新版本早六个月以上的版本不再受支持，也无法下载。用户应确保使用受支持的版本。

近期Docker安全更新背景

此次漏洞修复并非Docker近期的唯一安全更新。之前的版本4.44.2和4.44.1主要关注错误修复和功能增强，如集成Docker Offload Beta和改进WSL 2的启动稳定性。

版本4.44.0则引入了对WSL 2的重大稳定性改进，并增加了在Docker Model Runner中运行多个模型的高级功能。此外，Docker团队此前还修复了另一个关键安全问题CVE-2025-23266，该漏洞与NVIDIA容器工具包相关。

安全实践建议

除了及时应用安全补丁外，建议Docker用户采取以下防御措施：

1. 最小权限原则：不以root权限运行容器
2. 网络隔离：使用自定义网络并限制容器间的通信
3. 资源限制：配置容器资源限制以防止资源耗尽攻击
4. 定期审计：监控和审计容器活动日志
5. 多层防御：不要仅依赖容器隔离作为唯一安全措施