一、漏洞详情
Docker Compose是一个用于定义和运行多容器Docker应用的工具。
近日,监测到官方修复Docker Compose OCI路径遍历漏洞(CVE-2025-62725),该漏洞源于Docker Compose 信任远程OCI artifacts中嵌入的路径信息。攻击者通过精心构造的OCI artifacts(com.docker.compose.extends或com.docker.compose.envfile),当用户运行 docker compose ps等命令时,会突破文件系统目录限制创建或覆盖任意文件。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Docker Compose < v2.40.2
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Docker Compose >= v2.40.2
