Plataforma
docker
Componente
docker-desktop
Corregido en
4.46.1
Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en Docker Desktop, específicamente en las versiones 4.46.0–4.46.0. Esta falla ocurre cuando se utiliza Enhanced Container Isolation (ECI) con la función de restricciones de comandos. Debido a un error de software, las restricciones configuradas para limitar los comandos que un contenedor puede ejecutar a través del socket Docker no se aplicaban, permitiendo la ejecución de comandos arbitrarios.
Esta vulnerabilidad permite a un atacante, dentro de un contenedor con acceso al socket Docker, ejecutar comandos arbitrarios en el host. Dado que ECI está diseñado para aislar contenedores, la falla en la aplicación de las restricciones de comandos socava este aislamiento. Un atacante podría, por ejemplo, escalar privilegios para obtener acceso al sistema host, robar datos confidenciales, o incluso tomar control completo del sistema. La severidad se agrava por el hecho de que ECI se utiliza en entornos donde la seguridad es crítica, como entornos de desarrollo y producción con requisitos de cumplimiento normativo.
Esta vulnerabilidad fue publicada el 26 de septiembre de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) y la popularidad de Docker Desktop la convierten en un objetivo atractivo. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso. La vulnerabilidad podría ser añadida al Catálogo de Vulnerabilidades Conocidas (KEV) de CISA en el futuro.
Organizations heavily reliant on Docker Desktop for development or production environments, particularly those employing ECI for enhanced security, are at significant risk. Shared hosting environments where multiple users have access to Docker containers are also vulnerable. Legacy Docker deployments using older configurations may be more susceptible.
• docker / container:
# Check for Docker Desktop version 4.46.0
docker version• docker / container:
# Inspect ECI configuration (if applicable)
docker system info | grep -i "enhanced container isolation"• linux / server:
# Monitor Docker daemon logs for unusual command executions
journalctl -u docker -fdisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
La mitigación inmediata es deshabilitar ECI hasta que se pueda aplicar una solución. Si ECI es esencial, se recomienda revisar cuidadosamente las configuraciones de restricciones de comandos para asegurar que se apliquen correctamente. Aunque no hay una versión corregida disponible en el momento de la publicación, se espera que Docker publique una actualización en breve. Monitoree los canales oficiales de Docker para obtener información sobre la disponibilidad de la actualización. Como medida temporal, se pueden implementar reglas en un firewall o proxy para restringir el acceso al socket Docker desde contenedores no confiables.
Actualizar Docker Desktop a una versión posterior a la 4.46.0. Esta actualización corrige la vulnerabilidad que permite la ejecución de comandos sin restricciones en el socket de Docker cuando ECI está habilitado y se utilizan las restricciones de comandos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10657 is a vulnerability in Docker Desktop versions 4.46.0–4.46.0 where command restrictions within Enhanced Container Isolation (ECI) are ignored, allowing unrestricted command execution.
If you are running Docker Desktop version 4.46.0–4.46.0 with ECI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of Docker Desktop as soon as it becomes available. Until then, implement stricter network segmentation and restrict access to the Docker socket.
While no active exploitation has been confirmed, the ease of exploitation suggests that active campaigns are possible.
Refer to the official Docker security advisories on the Docker website for updates and mitigation guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Dockerfile y te decimos al instante si estás afectado.