一、基本情况
Docker Compose是一个用于定义和运行多容器Docker应用的工具。
二、漏洞描述
近日,官方修复Docker Compose OCI路径遍历漏洞(CVE-2025-62725),该漏洞源于Docker Compose信任远程OCI artifacts中嵌入的路径信息。攻击者通过精心构造的OCI artifacts(com.docker.compose.extends或com.docker.compose.envfile),当用户运行docker compose ps等命令时,会突破文件系统目录限制创建或覆盖任意文件。
三、影响范围
Docker Compose < v2.40.2
四、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Docker Compose >= v2.40.2
