大工网安告[2025045]

一、 情况分析

Docker Compose是一款流行的容器编排工具，用于定义和运行多容器 Docker 应用程序，广泛应用于开发、测试和生产环境中，助力用户轻松管理复杂的分布式系统。Compose简化了对整个应用程序堆栈的控制，可以轻松地在一个 YAML 配置文件中管理服务、网络和卷。只需一条命令， 即可根据配置文件创建并启动所有服务。OCI artifacts 是一种遵循OCI（Open Container Initiative）标准的通用存储格式，允许在OCI注册表中存储任意类型的软件制品，如 Helm charts、软件物料清单（SBOM）、数字签名、出处数据、证明和漏洞报告等。

近日，监测到官方修复Docker Compose OCI路径遍历漏洞(CVE-2025-62725)，Docker Compose 存在路径遍历漏洞。该漏洞源于Docker Compose信任远程OCI artifacts中嵌入的路径信息。攻击者通过精心构造的 OCI artifacts（com.docker.compose.extends或com.docker.compose.envfile），当用户运行docker compose ps等命令时，会突破文件系统目录限制创建或覆盖任意文件。

威胁类型：信息泄露、代码执行。

技术类型：路径遍历。

危害描述：攻击者通过精心构造的OCI artifacts（com.docker.compose.extends或 com.docker.compose.envfile），当用户运行docker compose ps等命令时，会突破文件系统目录限制创建或覆盖任意文件。

二、 影响版本

Docker Compose < v2.40.2

三、 处置建议

修复解决方案（含漏洞补丁） ：

目前官方已有可更新版本， 建议受影响用户升级至最新版本：

Docker Compose >= v2.40.2

官方补丁下载地址：

https://github.com/docker/compose/releases/tag/v2.40.2