【安全资讯】Docker Compose路径遍历漏洞可能引发主机级文件写入风险

概要：

近日，Docker Compose被曝出存在高危路径遍历漏洞CVE-2025-62725，该漏洞允许攻击者通过恶意OCI构件突破缓存目录限制，在主机系统任意位置写入文件。这一发现凸显了在容器编排工具中，即使是最基础的YAML配置处理也可能成为安全边界突破的入口点，对依赖容器化部署的开发和运维环境构成严重威胁。

主要内容：

安全研究员Ron Masas在10月初发现，Docker Compose在处理基于OCI的构件时存在路径遍历缺陷。该漏洞源于Compose工具在处理OCI层注解时，未对文件写入路径进行规范化验证。攻击者可通过精心构造的注解指令，使Compose直接将缓存目录与恶意路径拼接，实现目录穿越。

技术层面，该漏洞的成因是Compose仅机械执行本地缓存目录与层注解的路径拼接，未实施路径标准化检查或边界验证。当用户引用恶意远程构件时，Compose进程会依据当前权限在主机任意位置写入文件，这为攻击者植入后门或篡改系统配置创造了条件。

Docker团队已紧急发布v2.40.2版本修复此漏洞。与此同时，Docker还修补了Windows安装器中存在的DLL注入漏洞（EUVD-2025-36191），该漏洞因安装程序优先搜索用户Downloads文件夹而非系统目录，使得攻击者可通过放置恶意DLL获取系统权限。

连续出现的安全事件表明，容器生态系统中自动文件重构机制的安全验证仍需加强。Imperva建议用户立即升级至最新版本，并强调“即使只是YAML文件”也应实施严格的路径消毒措施。