CVE-2025-9074

Accès Non Autorisé à l’API Docker Engine via Conteneurs Linux

Une faille de sécurité identifiée sous la référence CVE-2025-9074 affecte Docker Desktop. Elle permet à des conteneurs Linux locaux d’accéder à l’API du Docker Engine en utilisant l’adresse configurée du sous-réseau Docker, qui est par défaut 192.168.65.7:2375. Ce problème est présent indépendamment de l’activation de l’Isolation Renforcée des Conteneurs (ECI) ou de l’option “Exposer le démon sur tcp://localhost:2375 sans TLS”.

Points Clés :

• Des conteneurs Linux malveillants peuvent contourner les mesures de sécurité.
• Ils peuvent accéder directement à l’API du Docker Engine.
• Cela ouvre la voie à l’exécution de commandes privilégiées, à la prise de contrôle d’autres conteneurs, à la gestion d’images Docker.
• Dans les environnements Windows utilisant le backend WSL, un compromis complet du système hôte est possible via le montage du disque de l’hôte avec les permissions de l’utilisateur exécutant Docker Desktop.

Vulnérabilité :

• CVE-2025-9074

Recommandations :

L’article ne détaille pas explicitement les recommandations, mais la nature de la vulnérabilité suggère qu’il est impératif de :

• Appliquer les correctifs de sécurité dès qu’ils sont disponibles pour Docker Desktop.
• Revoir les configurations réseau et les permissions des conteneurs.
• Envisager des stratégies de confinement plus strictes pour les conteneurs critiques.

Source