Критическая уязвимость в Docker Desktop для Windows и macOS позволяет скомпрометировать хост, запуская вредоносный контейнер, даже если активна защита Enhanced Container Isolation (ECI). Проблема связана с SSRF и отслеживается как CVE-2025-9074. Она получила критический рейтинг серьезности 9,3. Согласно бюллетеню Docker, вредоносный контейнер, работающий на Docker Desktop, может получить доступ к Docker Engine и запустить дополнительные контейнеры, не требуя установки сокета Docker. Это, в свою очередь, реализует неправомерный доступ к пользовательским файлам в хост-системе. Причем улучшенная изоляция контейнеров (ECI) не смягчает эту уязвимость. Обнаруживший проблему исследователь и багхантер Феликс Було отметил, что API Docker Engine может быть доступен без аутентификации по адресу http://192.168.65.7:2375/ из любого запущенного контейнера. Филипп Дюгре, инженер DevSecOps в Pvotal Technologies, также подтвердил уязвимость в Docker Desktop Windows и macOS, отмечая, что версия для Linux не затронута. Причем уязвимость менее опасна в macOS в виду особенностей операционной системы. Исследователь смог создать файл в домашнем каталоге пользователя в Windows, чего в macOS без разрешения пользователя не реально. Как отмечает исследователь, в Windows с учетом работы Docker Engine через WSL2 злоумышленник может смонтировать в качестве администратора всю файловую систему, прочитать любой конфиденциальный файл и в конечном итоге перезаписать системную DLL. Однако на MacOS приложение Docker Desktop имеет достаточный уровень изоляции, смонтировать каталог пользователя можно лишь с разрешения пользователя. По умолчанию Docker не имеет доступа к остальной части файловой системы и не работает с административными привилегиями, поэтому хост намного безопаснее, чем в случае с Windows. Тем не менее, исследователь предупреждает, что даже на macOS, злоумышленник получает полный контроль над приложением и контейнерами, что создает риск неправомерного доступа или изменения конфигурации без необходимости разрешения. По мнению Дюгре, уязвимость легко использовать, а его эксплойт это четко подтверждает, поскольку состоит всего лишь из трех строк кода Python. В Docker достаточно быстро отреагировали и устранили проблему в новой версии Docker Desktop, 4.44.3, выпущенной на прошлой неделе.