Plataforma
docker
Componente
docker-desktop
Corrigido em
4.41.0
A vulnerabilidade CVE-2025-3224 afeta o Docker Desktop para Windows nas versões anteriores a 4.41.0. Exploração bem-sucedida permite a um atacante local, com privilégios limitados, escalar seus privilégios para o nível SYSTEM, comprometendo a segurança do sistema. A correção foi disponibilizada na versão 4.41.0 e a aplicação das medidas de mitigação é crucial para proteger os sistemas vulneráveis.
A exploração desta vulnerabilidade permite a um atacante local obter acesso irrestrito ao sistema operacional Windows. Ao criar uma estrutura de diretórios maliciosa na pasta C:\ProgramData\Docker\config, o processo de atualização do Docker Desktop, executado com privilégios elevados, pode ser induzido a deletar ou manipular arquivos críticos do sistema. Isso pode levar à execução de código arbitrário com privilégios SYSTEM, permitindo o controle total do sistema afetado. Embora a exploração exija a criação prévia da pasta maliciosa, a facilidade de criação e o impacto significativo tornam esta vulnerabilidade uma preocupação séria, especialmente em ambientes onde usuários com privilégios limitados têm acesso à pasta C:\ProgramData\.
A vulnerabilidade foi divulgada em 28 de abril de 2025. Não há, até o momento, relatos de exploração ativa em campanhas direcionadas. A existência de um proof-of-concept público é desconhecida. A vulnerabilidade não foi adicionada ao Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA até o momento desta análise.
Users running Docker Desktop for Windows versions 0 through 4.41.0 are at risk. This includes developers, system administrators, and anyone using Docker containers on Windows systems. Shared hosting environments utilizing Docker Desktop are particularly vulnerable due to the potential for cross-tenant privilege escalation.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Docker*'} | Format-List TaskName, State• windows / supply-chain:
Get-Process -Name docker | Select-Object ProcessId, CommandLine• windows / supply-chain: Check Autoruns for unusual entries related to Docker Desktop. • windows / supply-chain: Monitor Windows Defender for alerts related to file deletion or modification within C:\ProgramData\Docker\config.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
A mitigação primária é a atualização para a versão 4.41.0 ou superior do Docker Desktop, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, é recomendado restringir o acesso de usuários com privilégios limitados à pasta C:\ProgramData\. Além disso, a monitorização de processos que executam operações de deleção de arquivos na pasta C:\ProgramData\Docker\config pode ajudar a detectar tentativas de exploração. Implementar regras de firewall para restringir o acesso à rede do Docker Desktop também pode reduzir a superfície de ataque.
Actualice Docker Desktop a la versión 4.41.0 o posterior. La actualización corrige la vulnerabilidad en el proceso de actualización que permite la escalada de privilegios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3224 is a privilege escalation vulnerability in Docker Desktop for Windows versions 0–4.41.0, allowing a local attacker to gain SYSTEM access by manipulating the Docker configuration directory.
If you are using Docker Desktop for Windows versions 0 through 4.41.0, you are potentially affected by this vulnerability. Upgrade to version 4.41.0 or later to mitigate the risk.
The recommended fix is to upgrade Docker Desktop to version 4.41.0 or later. Consider backing up your system before upgrading.
There is currently no evidence of active exploitation of CVE-2025-3224, but it is crucial to apply the patch to prevent potential future attacks.
Refer to the official Docker security advisory for detailed information and updates regarding CVE-2025-3224: [https://security.docker.com/](https://security.docker.com/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Dockerfile e descubra na hora se você está afetado.