Platform
docker
Component
docker-desktop
Opgelost in
4.41.0
CVE-2025-3224 beschrijft een privilege escalatie kwetsbaarheid in Docker Desktop voor Windows. Deze kwetsbaarheid kan een lokale aanvaller in staat stellen om SYSTEM privileges te verkrijgen, waardoor ze volledige controle over het systeem kunnen overnemen. De kwetsbaarheid treedt op in versies van Docker Desktop vóór 4.41.0 en is verholpen in deze versie. Upgrade naar de nieuwste versie om de risico's te minimaliseren.
Een succesvolle exploitatie van CVE-2025-3224 stelt een lokale aanvaller in staat om SYSTEM privileges te verkrijgen. Dit betekent dat de aanvaller in feite de controle over het hele systeem overneemt. Ze kunnen willekeurige bestanden verwijderen, wijzigen of installeren, en alle andere acties uitvoeren die een gebruiker met administratorrechten kan uitvoeren. De aanval maakt gebruik van het updateproces van Docker Desktop, waarbij bestanden onder C:\ProgramData\Docker\config met verhoogde privileges worden verwijderd. Door een kwaadaardige mapstructuur te creëren, kan de aanvaller het proces dwingen om willekeurige systeembestanden te manipuleren. Dit is vergelijkbaar met exploits die misbruik maken van onvoldoende validatie van paden tijdens beheerprocessen.
CVE-2025-3224 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is momenteel geen vermelding op CISA KEV, maar de ernst van de kwetsbaarheid (privilege escalatie) vereist aandacht. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven, maar de openbare bekendmaking van de kwetsbaarheid vergroot de kans op toekomstige exploitatie. De kwetsbaarheid werd publiekelijk bekendgemaakt op 2025-04-28.
Users running Docker Desktop for Windows versions 0 through 4.41.0 are at risk. This includes developers, system administrators, and anyone using Docker containers on Windows systems. Shared hosting environments utilizing Docker Desktop are particularly vulnerable due to the potential for cross-tenant privilege escalation.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Docker*'} | Format-List TaskName, State• windows / supply-chain:
Get-Process -Name docker | Select-Object ProcessId, CommandLine• windows / supply-chain: Check Autoruns for unusual entries related to Docker Desktop. • windows / supply-chain: Monitor Windows Defender for alerts related to file deletion or modification within C:\ProgramData\Docker\config.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-3224 is het upgraden van Docker Desktop naar versie 4.41.0 of hoger. Als een upgrade momenteel niet mogelijk is, is het raadzaam om de map C:\ProgramData\Docker\config te verwijderen. Dit voorkomt dat een aanvaller deze map kan gebruiken om de kwetsbaarheid te exploiteren. Controleer ook de toegangsrechten op deze map om te zorgen dat alleen bevoegde gebruikers er toegang toe hebben. Na de upgrade, bevestig de fix door te controleren of Docker Desktop correct werkt en geen foutmeldingen genereert tijdens het updateproces.
Actualice Docker Desktop a la versión 4.41.0 o posterior. La actualización corrige la vulnerabilidad en el proceso de actualización que permite la escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-3224 is a privilege escalation vulnerability in Docker Desktop for Windows versions 0–4.41.0, allowing a local attacker to gain SYSTEM access by manipulating the Docker configuration directory.
If you are using Docker Desktop for Windows versions 0 through 4.41.0, you are potentially affected by this vulnerability. Upgrade to version 4.41.0 or later to mitigate the risk.
The recommended fix is to upgrade Docker Desktop to version 4.41.0 or later. Consider backing up your system before upgrading.
There is currently no evidence of active exploitation of CVE-2025-3224, but it is crucial to apply the patch to prevent potential future attacks.
Refer to the official Docker security advisory for detailed information and updates regarding CVE-2025-3224: [https://security.docker.com/](https://security.docker.com/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Dockerfile-bestand en we vertellen je direct of je getroffen bent.