漏洞名称:
Docker Compose OCI路径遍历漏洞 (CVE-2025-62725)
组件名称:
Docker Compose
影响范围:
Docker Compose < 2.40.2
漏洞类型:
目录遍历
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:中等,需要用户运行Docker Compose命令。
<综合评定威胁等级>:高危,能造成任意文件上传。
官方解决方案:
已发布
漏洞分析
组件介绍
Docker Compose 是 Docker 官方提供的工具,用于通过单一配置文件定义、启动和管理多容器应用程序,简化开发、测试和部署流程。 它通过 YAML 文件统一配置服务、网络和卷等资源,支持一键操作整个应用栈的生命周期。
漏洞简介
2025年10月30日,深瞳漏洞实验室监测到一则Docker Compose组件存在目录遍历漏洞的信息,漏洞编号:CVE-2025-62725,漏洞威胁等级:高危。
Docker Compose对远程OCI artifacts缺乏校验,未经授权的攻击者可以构造恶意OCI,诱导用户运行Docker Compose命令(只读命令同样受影响)触发该漏洞,写入恶意文件,导致服务器失陷。
影响范围
目前受影响的Docker Compose版本:
Docker Compose < 2.40.2
解决方案
临时修复方案
避免访问带有未知OCI的docker compose命令。
官方修复建议
官方已发布新版本修复该漏洞,建议您更新Docker Compose到2.40.2版本,完成漏洞的修复。
下载链接:https://github.com/docker/compose/releases
深信服解决方案
漏洞主动检测
支持对Docker Compose OCI路径遍历漏洞 (CVE-2025-62725)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜YJ】预计2025年11月02日发布检测方案,规则ID:SF-2025-02113。
【深信服漏洞评估工具TSS】预计2025年11月20日发布检测方案,规则ID:SF-0005-21061 。
【深信服安全托管服务MSS】预计2025年11月20日发布检测方案(需要具备TSS组件能力),规则ID:SF-0005-21061 。
【深信服安全检测与响应平台XDR】预计2025年11月02日发布检测方案(需要具备云镜组件能力),规则ID:SF-2025-02113。
参考链接
https://github.com/docker/compose/security/advisories/GHSA-gv8h-7v7w-r22q
时间轴
2025/10/30
深瞳漏洞实验室监测到Docker Compose OCI路径遍历漏洞信息。
2025/10/31
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
