一、基本情况
Docker Desktop是一款为开发者提供的跨平台容器管理工具,支持Windows和macOS系统。
二、漏洞描述
CVE-2025-9164是一个影响Docker Desktop for Windows安装程序的DLL劫持漏洞,源于不安全的DLL搜索顺序。安装程序在查找DLL时,会优先在用户的Downloads文件夹中搜索,而非系统目录。这使得攻击者可通过在该文件夹中放置恶意DLL,实现本地权限提升。该漏洞允许攻击者获取更高权限并执行恶意操作。
三、影响范围
Docker Desktop for Windows <= 4.48.0
四、修复建议
官方已发布修复补丁,以修复该漏洞。
Docker Desktop for Windows version >= 4.49.0
