Plataforma
docker
Componente
docker-desktop
Corregido en
4.41.0
La vulnerabilidad CVE-2025-3224 afecta a Docker Desktop para Windows en versiones anteriores a 4.41.0. Un atacante local con privilegios limitados puede explotar este fallo para escalar sus privilegios a SYSTEM, el nivel más alto del sistema operativo. Esto se debe a una falla en el proceso de actualización de Docker Desktop, que puede ser manipulado para eliminar o modificar archivos del sistema. La solución es actualizar a la versión 4.41.0.
Esta vulnerabilidad permite a un atacante local, sin privilegios elevados, comprometer completamente el sistema Windows. El atacante puede crear una estructura de directorios maliciosa en C:\ProgramData\Docker\config durante el proceso de actualización de Docker Desktop. Dado que el proceso de actualización se ejecuta con privilegios elevados, esta manipulación puede resultar en la eliminación o modificación de archivos críticos del sistema, otorgando al atacante control total sobre la máquina. La capacidad de escalar privilegios a SYSTEM permite al atacante instalar malware, robar datos confidenciales, o incluso tomar control remoto del sistema. Aunque la vulnerabilidad requiere acceso local, la facilidad de explotación la convierte en un riesgo significativo, especialmente en entornos donde los usuarios tienen permisos de escritura en directorios sensibles.
CVE-2025-3224 fue publicado el 28 de abril de 2025. Actualmente, no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación se considera baja, ya que requiere acceso local y un conocimiento específico del proceso de actualización de Docker Desktop. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a ser explotada en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Users running Docker Desktop for Windows versions 0 through 4.41.0 are at risk. This includes developers, system administrators, and anyone using Docker containers on Windows systems. Shared hosting environments utilizing Docker Desktop are particularly vulnerable due to the potential for cross-tenant privilege escalation.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Docker*'} | Format-List TaskName, State• windows / supply-chain:
Get-Process -Name docker | Select-Object ProcessId, CommandLine• windows / supply-chain: Check Autoruns for unusual entries related to Docker Desktop. • windows / supply-chain: Monitor Windows Defender for alerts related to file deletion or modification within C:\ProgramData\Docker\config.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
La mitigación principal para CVE-2025-3224 es actualizar Docker Desktop a la versión 4.41.0 o superior. Si la actualización causa problemas de compatibilidad, considere una reversión a una versión anterior conocida como estable, aunque esto solo es una solución temporal. Como medida adicional, se recomienda restringir los permisos de escritura en el directorio C:\ProgramData\Docker\config a usuarios autorizados. Implementar reglas en un firewall de aplicaciones web (WAF) o proxy para bloquear intentos de manipulación del proceso de actualización también puede ayudar a mitigar el riesgo. No se han publicado firmas Sigma o YARA específicas para esta vulnerabilidad, pero monitorear la actividad del proceso de actualización de Docker Desktop puede ayudar a detectar intentos de explotación.
Actualice Docker Desktop a la versión 4.41.0 o posterior. La actualización corrige la vulnerabilidad en el proceso de actualización que permite la escalada de privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3224 is a privilege escalation vulnerability in Docker Desktop for Windows versions 0–4.41.0, allowing a local attacker to gain SYSTEM access by manipulating the Docker configuration directory.
If you are using Docker Desktop for Windows versions 0 through 4.41.0, you are potentially affected by this vulnerability. Upgrade to version 4.41.0 or later to mitigate the risk.
The recommended fix is to upgrade Docker Desktop to version 4.41.0 or later. Consider backing up your system before upgrading.
There is currently no evidence of active exploitation of CVE-2025-3224, but it is crucial to apply the patch to prevent potential future attacks.
Refer to the official Docker security advisory for detailed information and updates regarding CVE-2025-3224: [https://security.docker.com/](https://security.docker.com/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Dockerfile y te decimos al instante si estás afectado.