Plataforma
docker
Componente
docker-desktop
Corrigido em
4.46.1
Uma vulnerabilidade foi descoberta no Docker Desktop, afetando a versão 4.46.0–4.46.0. Essa falha permite que um administrador, em ambientes Docker com Enhanced Container Isolation (ECI) habilitado, contorne as restrições de comando configuradas para contêineres que montam um socket Docker. A exploração bem-sucedida pode levar ao escalonamento de privilégios, comprometendo a segurança do host.
A falha reside na forma como o Docker Desktop lida com as configurações de restrição de comando quando o ECI está ativo. A intenção do recurso de restrição de comando é limitar os comandos que um contêiner pode executar através do socket Docker, mitigando o risco de exploração. No entanto, devido a um erro de software, essas configurações são ignoradas, permitindo que qualquer comando seja executado no socket. Um atacante com acesso a um contêiner com o socket Docker montado pode, portanto, executar comandos arbitrários no host, potencialmente obtendo acesso root e comprometendo todo o sistema. Isso é particularmente preocupante em ambientes de produção onde contêineres são usados para executar aplicações críticas.
A vulnerabilidade foi publicada em 26 de setembro de 2025. Não há informações disponíveis sobre a existência de um KEV (Key Vulnerability) no momento da publicação. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da falha sugere que a exploração pode ser relativamente simples de implementar. É importante monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
Organizations heavily reliant on Docker Desktop for development or production environments, particularly those employing ECI for enhanced security, are at significant risk. Shared hosting environments where multiple users have access to Docker containers are also vulnerable. Legacy Docker deployments using older configurations may be more susceptible.
• docker / container:
# Check for Docker Desktop version 4.46.0
docker version• docker / container:
# Inspect ECI configuration (if applicable)
docker system info | grep -i "enhanced container isolation"• linux / server:
# Monitor Docker daemon logs for unusual command executions
journalctl -u docker -fdisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
A mitigação imediata para esta vulnerabilidade envolve garantir que as configurações de restrição de comando sejam aplicadas corretamente. Verifique se o ECI está corretamente configurado e se as restrições de comando estão sendo aplicadas aos contêineres que utilizam o socket Docker. Como solução alternativa, desative o ECI, mas esteja ciente de que isso reduz o nível geral de segurança. A atualização para uma versão corrigida do Docker Desktop é a solução recomendada, assim que disponível. Após a aplicação da correção, confirme a funcionalidade das restrições de comando executando comandos restritos dentro de um contêiner e verificando se eles são bloqueados conforme o esperado.
Actualizar Docker Desktop a una versión posterior a la 4.46.0. Esta actualización corrige la vulnerabilidad que permite la ejecución de comandos sin restricciones en el socket de Docker cuando ECI está habilitado y se utilizan las restricciones de comandos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-10657 is a vulnerability in Docker Desktop versions 4.46.0–4.46.0 where command restrictions within Enhanced Container Isolation (ECI) are ignored, allowing unrestricted command execution.
If you are running Docker Desktop version 4.46.0–4.46.0 with ECI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of Docker Desktop as soon as it becomes available. Until then, implement stricter network segmentation and restrict access to the Docker socket.
While no active exploitation has been confirmed, the ease of exploitation suggests that active campaigns are possible.
Refer to the official Docker security advisories on the Docker website for updates and mitigation guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Dockerfile e descubra na hora se você está afetado.