HIGHCVE-2025-62725CVSS 7.5

github.com/docker/compose の OCI Artifact Layer 注釈を介したパス・トラバーサル脆弱性 (Path Traversal Vulnerability) - Docker Compose

Q: CVE-2025-62725 — パストラバーザル脆弱性とは、Docker Composeで何ですか？

CVE-2025-62725は、github.com/docker/composeにおけるOCIアーティファクトレイヤー注釈を介したパストラバーザル脆弱性です。攻撃者はこの脆弱性を悪用して、本来アクセスできないファイルにアクセスできる可能性があります。

Q: CVE-2025-62725 — Docker Composeで影響は受けますか？

Docker Composeのバージョンが2.40.2より前である場合、影響を受ける可能性があります。バージョン2.40.2にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-62725 — Docker Composeを修正するにはどうすればよいですか？

github.com/docker/composeをバージョン2.40.2にアップデートしてください。アップデートが利用できない場合は、一時的な緩和策として、OCIアーティファクトレイヤー注釈の利用を制限する設定を検討してください。

Q: CVE-2025-62725に関する公式のDocker Composeのアドバイザリはどこで入手できますか？

github.com/docker/composeのリリースノートを参照してください。詳細な情報は、関連するコミットやプルリクエストで確認できます。

プラットフォーム

コンポーネント

github.com/docker/compose

修正版

2.40.3

2.40.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-62725は、github.com/docker/composeにおいて、OCIアーティファクトレイヤー注釈を悪用したパストラバーザル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは2.40.2より前のものです。2.40.2へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がDocker Compose環境内のファイルシステムを自由に探索することを可能にします。OCIアーティファクトレイヤー注釈を介して、攻撃者は本来アクセスできないファイルにアクセスし、機密情報を盗み出す可能性があります。例えば、設定ファイル、認証情報、ソースコードなどが危険にさらされる可能性があります。攻撃者は、この脆弱性を利用して、コンテナ内の他のサービスへのアクセス権を取得し、横展開攻撃を行う可能性も考えられます。この脆弱性の影響範囲は、Docker Composeを使用しているすべての環境に及ぶ可能性があります。

悪用の状況

この脆弱性は、2025年10月30日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認されるまでは、注意深く監視する必要があります。

リスク対象者翻訳中…

Organizations using Docker Compose in production environments, particularly those with sensitive data stored on the host system or within Docker containers, are at risk. Environments with less stringent file access controls are also more vulnerable. Developers using Docker Compose for local development should also apply the fix to prevent potential compromise.

検出手順翻訳中…

• linux / server: Monitor Docker Compose logs for unusual file access attempts. Use journalctl -u docker-compose to filter for errors related to file access.

journalctl -u docker-compose | grep "file not found" -i

• go: Inspect Docker Compose source code for instances of os.Open or similar functions that handle file paths derived from user input. Look for potential path traversal vulnerabilities. • generic web: If Docker Compose is exposed via a web interface, monitor access logs for requests attempting to access files outside the intended directory.

攻撃タイムライン

2025-10-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントgithub.com/docker/compose

ベンダーosv

影響範囲修正版

< 2.40.2 – < 2.40.22.40.3

2.34.02.40.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-10-20
公開日2025-10-30
更新日2026-03-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最善の対応は、github.com/docker/composeをバージョン2.40.2にアップデートすることです。アップデートが利用できない場合、一時的な緩和策として、OCIアーティファクトレイヤー注釈の利用を制限する設定を検討してください。また、WAFやプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。Docker Composeの設定ファイルやコンテナログを定期的に監視し、異常なアクセスやファイル操作がないか確認することも重要です。

修正方法翻訳中…

Actualice Docker Compose a la versión 2.40.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Puede descargar la última versión desde el sitio web oficial de Docker o utilizando su gestor de paquetes preferido.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-62725 — パストラバーザル脆弱性とは、Docker Composeで何ですか？