CVE-2025-9074

Accès non autorisé à l’API Docker Engine via CVE-2025-9074

Une faille de sécurité, identifiée sous la référence CVE-2025-9074, a été découverte dans Docker Desktop. Elle permet aux conteneurs Linux locaux d’accéder à l’API du moteur Docker via le sous-réseau configuré, généralement 192.168.65.7:2375. Cette vulnérabilité est présente indépendamment des paramètres d’isolement des conteneurs ou de l’exposition du démon de l’API sans TLS.

Points Clés :

• Les conteneurs malveillants peuvent contourner les restrictions de sécurité.
• Ils peuvent accéder directement à l’API du moteur Docker.

Vulnérabilités :

• CVE-2025-9074 : Permet aux conteneurs d’accéder à l’API Docker Engine.

Impact potentiel :

• Exécution de commandes privilégiées.
• Contrôle d’autres conteneurs.
• Gestion des images Docker.
• Dans les environnements WSL sous Windows, possibilité de monter le lecteur hôte avec les permissions de l’utilisateur exécutant Docker Desktop, menant à une compromission totale du système hôte.

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques pour CVE-2025-9074, les meilleures pratiques générales de cybersécurité pour Docker incluent :

• Maintenir Docker Desktop à jour avec les derniers correctifs de sécurité.
• Revoir et restreindre les accès au réseau des conteneurs.
• Éviter d’exposer le démon Docker sans TLS, sauf si absolument nécessaire et sécurisé par d’autres moyens.
• Mettre en œuvre des politiques de sécurité rigoureuses pour les conteneurs.

Source