CVE-2025-62725

1 minute de lecture

Mis à jour : October 31, 2025

Vulnérabilité critique dans Docker Compose : Contrôle arbitraire des fichiers sur le système hôte

Une faille de sécurité de type “path traversal” a été découverte dans Docker Compose. Cette vulnérabilité, identifiée sous la référence CVE-2025-62725, permet à un attaquant d’écrire des fichiers n’importe où sur le système hôte. Le problème provient de la confiance accordée par Docker Compose aux informations de chemin contenues dans des artefacts OCI distants.

Lors du traitement des couches OCI, Docker Compose s’appuie sur des annotations pour définir l’emplacement d’écriture des fichiers, sans pour autant effectuer une validation adéquate de ces chemins. Un acteur malveillant peut ainsi créer des annotations frauduleuses incluant des séquences de traversée de répertoire. Ces séquences permettent de contourner le répertoire de cache prévu et de placer des fichiers dans des emplacements arbitraires, tant que le processus de Compose dispose des droits d’écriture nécessaires.

L’exploitation de cette faille peut être initiée en amenant un utilisateur à référencer un artefact distant compromis, même lors de l’exécution de commandes en lecture seule comme docker compose config ou docker compose ps. Une exploitation réussie peut mener à une compromission totale du système. Par exemple, un attaquant pourrait injecter une clé publique SSH dans le fichier authorized_keys du système cible, lui ouvrant ainsi un accès persistant.

Points clés :

Type de vulnérabilité : Path traversal.
Produit affecté : Docker Compose.
Impact : Écriture arbitraire de fichiers sur le système hôte, menant potentiellement à une compromission totale du système.
Mécanisme d’exploitation : Exploitation via des artefacts OCI distants malveillants référencés par l’utilisateur.

Vulnérabilités :

CVE-2025-62725 : Path traversal permettant l’écriture arbitraire de fichiers.

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques pour cette CVE, il est impératif de maintenir Docker Compose à jour avec les derniers correctifs de sécurité dès qu’ils sont disponibles.
Être vigilant quant à l’utilisation d’artefacts OCI provenant de sources non fiables ou inconnues.
Réviser et restreindre les privilèges d’écriture du processus Docker Compose lorsque cela est possible.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-62725

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast