Plataforma
go
Componente
github.com/docker/compose
Corrigido em
2.40.3
2.40.2
Uma vulnerabilidade de Path Traversal foi descoberta no Docker Compose, especificamente na forma como lida com anotações de camadas de artefatos OCI. Essa falha permite que um atacante, sob certas condições, acesse arquivos fora do diretório pretendido, potencialmente comprometendo a integridade do sistema. A vulnerabilidade afeta versões anteriores a 2.40.2 e foi publicada em 30 de outubro de 2025. A correção está disponível na versão 2.40.2.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no sistema de arquivos subjacente ao Docker Compose. Isso pode levar à exposição de informações confidenciais, como chaves de API, senhas ou dados de configuração. Em cenários mais graves, um atacante pode até mesmo executar código malicioso se conseguir escrever em arquivos executáveis. A amplitude do impacto depende do contexto de implantação e das permissões concedidas ao usuário que executa o Docker Compose. A vulnerabilidade se assemelha a outros casos de Path Traversal, onde a falta de validação adequada da entrada do usuário permite o acesso a recursos não autorizados.
A vulnerabilidade foi publicada em 30 de outubro de 2025. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade de Path Traversal e a possibilidade de exploração remota. Não há evidências de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a disponibilidade de informações sobre a vulnerabilidade aumenta o risco de exploração oportunista. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations using Docker Compose in production environments, particularly those with sensitive data stored on the host system or within Docker containers, are at risk. Environments with less stringent file access controls are also more vulnerable. Developers using Docker Compose for local development should also apply the fix to prevent potential compromise.
• linux / server: Monitor Docker Compose logs for unusual file access attempts. Use journalctl -u docker-compose to filter for errors related to file access.
journalctl -u docker-compose | grep "file not found" -i• go: Inspect Docker Compose source code for instances of os.Open or similar functions that handle file paths derived from user input. Look for potential path traversal vulnerabilities.
• generic web: If Docker Compose is exposed via a web interface, monitor access logs for requests attempting to access files outside the intended directory.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o Docker Compose para a versão 2.40.2 ou superior. Se a atualização imediata não for possível, considere implementar controles de acesso rigorosos para restringir o acesso aos arquivos e diretórios relevantes. Isso pode incluir a configuração de permissões de arquivo apropriadas e o uso de firewalls ou sistemas de detecção de intrusão (IDS) para monitorar atividades suspeitas. Além disso, revise as anotações de camadas de artefatos OCI para garantir que não contenham caminhos maliciosos. Após a atualização, confirme a correção verificando se o Docker Compose não consegue mais acessar arquivos fora do diretório pretendido.
Actualice Docker Compose a la versión 2.40.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Puede descargar la última versión desde el sitio web oficial de Docker o utilizando su gestor de paquetes preferido.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62725 is a Path Traversal vulnerability in Docker Compose versions before 2.40.2, allowing attackers to read arbitrary files via OCI artifact layer annotations.
You are affected if you are using Docker Compose versions prior to 2.40.2. Upgrade to the latest version to mitigate the risk.
Upgrade Docker Compose to version 2.40.2 or later. If immediate upgrade is not possible, implement stricter file access controls.
There is no current indication of active exploitation, but the vulnerability's severity warrants prompt mitigation.
Refer to the official Docker security advisory for detailed information and updates: [https://security.docker.com/](https://security.docker.com/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.