Plateforme
docker
Composant
docker-desktop
Corrigé dans
4.46.1
Une vulnérabilité de contournement de restrictions a été découverte dans Docker Desktop, affectant la version 4.46.0–4.46.0. Lorsque l'Enhanced Container Isolation (ECI) est activée, les administrateurs peuvent théoriquement restreindre les commandes exécutables par les conteneurs via le socket Docker. Cependant, une faille logicielle permet d'ignorer ces restrictions, autorisant l'exécution de commandes arbitraires sur le socket. Une correction est en cours de développement.
Cette vulnérabilité permet à un attaquant de contourner les mesures de sécurité mises en place par ECI. En exploitant cette faille, un attaquant disposant d'un accès à un conteneur avec le socket Docker monté peut exécuter des commandes arbitraires sur le système hôte. Cela peut conduire à une compromission complète du système, incluant le vol de données sensibles, l'installation de logiciels malveillants, ou l'utilisation du système comme point de pivot pour attaquer d'autres systèmes sur le réseau. Le risque est amplifié dans les environnements où Docker Desktop est utilisé pour le développement et le déploiement d'applications critiques.
Cette vulnérabilité a été rendue publique le 26 septembre 2025. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite un accès à un conteneur avec le socket Docker monté et une compréhension des mécanismes d'ECI. Aucune preuve d'exploitation active n'a été rapportée à ce jour. Cette vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations heavily reliant on Docker Desktop for development or production environments, particularly those employing ECI for enhanced security, are at significant risk. Shared hosting environments where multiple users have access to Docker containers are also vulnerable. Legacy Docker deployments using older configurations may be more susceptible.
• docker / container:
# Check for Docker Desktop version 4.46.0
docker version• docker / container:
# Inspect ECI configuration (if applicable)
docker system info | grep -i "enhanced container isolation"• linux / server:
# Monitor Docker daemon logs for unusual command executions
journalctl -u docker -fdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
En attendant la publication d'une version corrigée de Docker Desktop, il est fortement recommandé de désactiver temporairement ECI si cela n'impacte pas les opérations critiques. Si ECI est indispensable, examinez attentivement les configurations de restrictions de commandes pour vous assurer qu'elles sont correctement appliquées et testez-les rigoureusement. Surveillez les journaux Docker Desktop pour détecter toute activité suspecte. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité pour le moment, mais une analyse comportementale des conteneurs peut aider à identifier les tentatives d'exploitation.
Actualizar Docker Desktop a una versión posterior a la 4.46.0. Esta actualización corrige la vulnerabilidad que permite la ejecución de comandos sin restricciones en el socket de Docker cuando ECI está habilitado y se utilizan las restricciones de comandos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-10657 is a vulnerability in Docker Desktop versions 4.46.0–4.46.0 where command restrictions within Enhanced Container Isolation (ECI) are ignored, allowing unrestricted command execution.
If you are running Docker Desktop version 4.46.0–4.46.0 with ECI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of Docker Desktop as soon as it becomes available. Until then, implement stricter network segmentation and restrict access to the Docker socket.
While no active exploitation has been confirmed, the ease of exploitation suggests that active campaigns are possible.
Refer to the official Docker security advisories on the Docker website for updates and mitigation guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Dockerfile et nous te dirons instantanément si tu es affecté.