CVE-2025-62725

1 minute de lecture

Mis à jour : October 30, 2025

Vulnérabilité de traversée de chemin dans Docker Compose

Une faille de sécurité, identifiée sous la référence CVE-2025-62725, a été découverte dans Docker Compose. Elle permet à un attaquant d’écrire des fichiers arbitraires sur le système hôte. La cause réside dans la confiance excessive accordée par Docker Compose aux informations de chemin contenues dans les artefacts OCI distants. Lors du traitement des couches OCI, le logiciel utilise des annotations pour définir les emplacements d’écriture, sans une validation adéquate des chemins.

Un acteur malveillant peut créer des annotations altérées, intégrant des séquences de traversée de chemin. Cela lui permet de sortir du répertoire de cache prévu et d’écrire des fichiers dans n’importe quel emplacement accessible en écriture par le processus Compose. L’exploitation peut être déclenchée en incitant un utilisateur à référencer un artefact distant malveillant, même via des commandes non destructrices comme docker compose config ou docker compose ps. Une exploitation réussie pourrait aboutir à une compromission totale du système, par exemple en injectant une clé publique SSH dans le fichier authorized_keys du système cible.

Points Clés:

Docker Compose est affecté par une vulnérabilité de traversée de chemin.
La faille permet l’écriture de fichiers arbitraires sur le système hôte.
L’exploitation exploite la confiance accordée aux artefacts OCI distants.
Des commandes apparemment inoffensives peuvent être utilisées pour déclencher l’attaque.
Une compromission totale du système est possible.

Vulnérabilité:

CVE: CVE-2025-62725
Type: Traversée de chemin (Path Traversal)

Recommandations:

Bien que l’article ne fournisse pas de recommandations explicites, la nature de la vulnérabilité suggère les mesures suivantes :

Mise à jour de Docker Compose: Il est crucial de mettre à jour Docker Compose vers une version corrigée dès qu’elle sera disponible.
Vérification des sources d’artefacts OCI: Soyez extrêmement prudent quant aux sources des artefacts OCI que vous utilisez et référencez. N’utilisez que des sources de confiance.
Sensibilisation des utilisateurs: Informez les utilisateurs des risques potentiels liés à la manipulation d’artefacts OCI provenant de sources non vérifiées.
Principe du moindre privilège: Assurez-vous que le processus Docker Compose s’exécute avec le minimum de privilèges nécessaires sur le système hôte.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-62725

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast