「Docker Compose」にパストラバーサル脆弱性 - 修正版を公開

「Docker」において複数のコンテナ環境を管理するためのツール「Docker Compose」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。

リモートより配布される「OCI（Open Container Initiative）形式」のデータを処理する際、パスの検証を適切に行っておらず、リモートよりキャッシュ領域外の任意ファイルを上書きできるパストラバーサルの脆弱性「CVE-2025-62725」が確認されたもの。

「Docker Desktop」やLinuxにおけるスタンドアロンプログラムをはじめ、CI/CDランナー、クラウド開発環境など、リモートの「OCIアーティファクト」を処理する環境が同脆弱性の影響を受けるという。

読み取り専用のコマンドを実行した場合でも、脆弱性を悪用されるとファイルの書き込みにつながるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.9」、重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。

開発チームでは、現地時間2025年10月22日にリリースした「Docker Compose 2.40.2」で同脆弱性を修正した。利用者に同バージョン以降へアップデートするよう呼びかけている。

（Security NEXT - 2025/10/29 ）ツイート