Docker Desktop with ECI 失败执行套接字命令限制

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞逃离容器环境，并获得对主机系统的访问权限。一旦获得主机访问权限，攻击者可以窃取敏感数据、安装恶意软件、甚至完全控制受感染的系统。由于 ECI 的设计目标是增强安全性，该漏洞的出现意味着安全措施的失效，增加了攻击面。如果 Docker Desktop 用于运行关键业务应用或存储敏感数据，那么该漏洞的影响将更加严重。攻击者可能利用此漏洞进行横向移动，攻击其他容器或主机，造成更大的损失。

Organizations heavily reliant on Docker Desktop for development or production environments, particularly those employing ECI for enhanced security, are at significant risk. Shared hosting environments where multiple users have access to Docker containers are also vulnerable. Legacy Docker deployments using older configurations may be more susceptible.

• docker / container:

# Check for Docker Desktop version 4.46.0
docker version

• docker / container:

# Inspect ECI configuration (if applicable)
docker system info | grep -i "enhanced container isolation"

• linux / server:

# Monitor Docker daemon logs for unusual command executions
journalctl -u docker -f

1. 2025-09-26Disclosure

   disclosure

1. 已保留2025-09-17
2. 发布日期2025-09-26
3. 修改日期2026-02-26
4. EPSS 更新日期2026-03-23

目前官方建议升级到已修复的版本。由于没有提供具体的修复版本，建议密切关注 Docker 官方的安全公告，及时更新 Docker Desktop。在无法立即升级的情况下，可以考虑以下缓解措施：首先，确保 ECI 功能已启用，虽然该漏洞绕过了配置的命令限制，但 ECI 本身提供了一定程度的隔离。其次，限制 Docker socket 的访问权限，只允许必要的容器访问。第三，实施严格的网络策略，限制容器之间的通信。最后，定期审查 Docker 容器的配置，确保其符合安全最佳实践。升级后，请确认命令限制配置已生效，并测试容器的隔离性。