Plataforma
go
Componente
github.com/docker/compose
Corregido en
2.40.3
2.40.2
Se ha descubierto una vulnerabilidad de Path Traversal en Docker Compose, específicamente en el componente github.com/docker/compose. Esta falla permite a atacantes potenciales acceder a archivos arbitrarios en el sistema host. La vulnerabilidad afecta a versiones anteriores a 2.40.2 y requiere una acción inmediata para mitigar el riesgo. La actualización a la versión 2.40.2 resuelve esta vulnerabilidad.
La vulnerabilidad de Path Traversal en Docker Compose permite a un atacante, con acceso al entorno Docker Compose, manipular las anotaciones de las capas de artefactos OCI para acceder a archivos fuera del directorio previsto. Esto podría resultar en la exposición de información confidencial, como claves de API, contraseñas, o incluso código fuente. Un atacante podría utilizar esta vulnerabilidad para escalar privilegios y comprometer el sistema host subyacente. El impacto potencial es significativo, especialmente en entornos de desarrollo y producción donde Docker Compose se utiliza para orquestar aplicaciones.
La vulnerabilidad CVE-2025-62725 fue publicada el 30 de octubre de 2025. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (Path Traversal) la convierte en un objetivo atractivo para atacantes. No se ha añadido a la lista KEV de CISA al momento de esta redacción. Se recomienda monitorear activamente los canales de seguridad en busca de nuevas informaciones sobre esta vulnerabilidad.
Organizations using Docker Compose in production environments, particularly those with sensitive data stored on the host system or within Docker containers, are at risk. Environments with less stringent file access controls are also more vulnerable. Developers using Docker Compose for local development should also apply the fix to prevent potential compromise.
• linux / server: Monitor Docker Compose logs for unusual file access attempts. Use journalctl -u docker-compose to filter for errors related to file access.
journalctl -u docker-compose | grep "file not found" -i• go: Inspect Docker Compose source code for instances of os.Open or similar functions that handle file paths derived from user input. Look for potential path traversal vulnerabilities.
• generic web: If Docker Compose is exposed via a web interface, monitor access logs for requests attempting to access files outside the intended directory.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Docker Compose a la versión 2.40.2 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso restrictivos en el sistema host para limitar el acceso a archivos sensibles. Además, revise la configuración de Docker Compose para asegurar que no se estén utilizando anotaciones de artefactos OCI de forma insegura. Considere la implementación de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas que intenten explotar esta vulnerabilidad. Verifique después de la actualización que el acceso a archivos sensibles esté restringido y que la versión de Docker Compose sea la esperada.
Actualice Docker Compose a la versión 2.40.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Puede descargar la última versión desde el sitio web oficial de Docker o utilizando su gestor de paquetes preferido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62725 is a Path Traversal vulnerability in Docker Compose versions before 2.40.2, allowing attackers to read arbitrary files via OCI artifact layer annotations.
You are affected if you are using Docker Compose versions prior to 2.40.2. Upgrade to the latest version to mitigate the risk.
Upgrade Docker Compose to version 2.40.2 or later. If immediate upgrade is not possible, implement stricter file access controls.
There is no current indication of active exploitation, but the vulnerability's severity warrants prompt mitigation.
Refer to the official Docker security advisory for detailed information and updates: [https://security.docker.com/](https://security.docker.com/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.