面向macOS系统的应用容器管理工具Docker Desktop近日曝出存在可被恶意利用的权限漏洞,该漏洞已获CVE编号CVE-2025-4095。
具体而言,CVE-2025-4095描述了Docker Desktop中影响注册表访问管理(RAM)的安全缺陷。该功能允许管理员限制开发人员仅访问已批准的注册表。漏洞清单显示,当使用macOS配置配置文件强制实施组织登录时,RAM策略未能生效。这将导致Docker Desktop用户可从注册表中拉取未经授权的镜像,为恶意镜像的利用打开方便之门。
该漏洞被归类为“中危”级别威胁,意味着可能对通信或业务运行造成破坏性影响。目前Docker官方已在4.41版本中发布修复补丁,管理员只需将受影响的Docker Desktop升级至最新版本即可解决。
作为最早也是最流行的容器系统之一,Docker是用于开发部署应用程序和环境的工具。容器技术能将开发环境、构建系统、应用程序和部署信息打包成单一文件(即“镜像”),并管理其运行所需环境。其最大优势在于囊括了开发部署所需的所有组件,极大减少了配置应用运行环境所需的时间。
各类注册表服务(如Docker旗下的DockerHub、亚马逊ECR、谷歌和微软Azure等第三方平台)为容器镜像提供了集中存储目录。与GitHub管理代码类似,这些平台专用于管理容器镜像。用户通常需要登录各注册表才能获取镜像文件。
Docker Desktop作为macOS应用程序,可协助用户在Mac上下载更新容器镜像。其特色功能包括支持通过配置文件定义的凭证登录并访问容器镜像。
该安全问题在通用缺陷枚举系统(CWE)中被归类为CWE-862:缺失授权(4.17版),该分类准确描述了此类漏洞的本质特征。
