Plateforme
go
Composant
github.com/docker/compose
Corrigé dans
2.40.3
2.40.2
La vulnérabilité CVE-2025-62725 est une faille de traversal de chemin (Path Traversal) découverte dans github.com/docker/compose. Cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système hôte en exploitant des annotations de couche d'artefact OCI. Elle affecte les versions de Docker Compose antérieures à 2.40.2 et a été publiée le 30 octobre 2025. La mise à jour vers la version 2.40.2 corrige cette faille.
Un attaquant peut exploiter cette vulnérabilité en manipulant les annotations de couche d'artefact OCI dans Docker Compose. Cela lui permet de lire des fichiers sensibles situés en dehors du répertoire prévu, potentiellement compromettant des informations confidentielles telles que des clés API, des mots de passe ou des données de configuration. L'impact est amplifié si le système hôte exécute d'autres services ou applications avec des privilèges élevés, ce qui pourrait permettre à l'attaquant d'obtenir un accès non autorisé à l'ensemble du système. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité et sa facilité d'exploitation potentielle en font une menace sérieuse.
La vulnérabilité CVE-2025-62725 a été publiée le 30 octobre 2025. Il n'y a pas d'indication qu'elle soit actuellement activement exploitée, ni de mention dans le KEV de CISA. Aucun proof-of-concept public n'est disponible à ce jour, mais la nature de la vulnérabilité suggère qu'elle pourrait être relativement facile à exploiter une fois qu'un PoC est publié.
Organizations using Docker Compose in production environments, particularly those with sensitive data stored on the host system or within Docker containers, are at risk. Environments with less stringent file access controls are also more vulnerable. Developers using Docker Compose for local development should also apply the fix to prevent potential compromise.
• linux / server: Monitor Docker Compose logs for unusual file access attempts. Use journalctl -u docker-compose to filter for errors related to file access.
journalctl -u docker-compose | grep "file not found" -i• go: Inspect Docker Compose source code for instances of os.Open or similar functions that handle file paths derived from user input. Look for potential path traversal vulnerabilities.
• generic web: If Docker Compose is exposed via a web interface, monitor access logs for requests attempting to access files outside the intended directory.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
La mitigation principale consiste à mettre à jour Docker Compose vers la version 2.40.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès aux annotations de couche d'artefact OCI en configurant des règles de pare-feu ou en utilisant des outils de contrôle d'accès. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des tentatives d'accès à des fichiers sensibles en dehors des répertoires attendus peut aider à détecter une exploitation. Après la mise à jour, vérifiez que la version corrigée est bien installée en exécutant docker compose version et en confirmant que la version affichée est 2.40.2 ou supérieure.
Actualice Docker Compose a la versión 2.40.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Puede descargar la última versión desde el sitio web oficial de Docker o utilizando su gestor de paquetes preferido.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62725 is a Path Traversal vulnerability in Docker Compose versions before 2.40.2, allowing attackers to read arbitrary files via OCI artifact layer annotations.
You are affected if you are using Docker Compose versions prior to 2.40.2. Upgrade to the latest version to mitigate the risk.
Upgrade Docker Compose to version 2.40.2 or later. If immediate upgrade is not possible, implement stricter file access controls.
There is no current indication of active exploitation, but the vulnerability's severity warrants prompt mitigation.
Refer to the official Docker security advisory for detailed information and updates: [https://security.docker.com/](https://security.docker.com/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.