Kritische Schwachstelle in Docker Desktop (CVE-2025-9074)
In Docker Desktop wurde eine schwerwiegende Sicherheitslücke entdeckt, die es lokal laufenden Linux-Containern ermöglicht, auf die Docker Engine API über das Standard-Subnetz (192.168.65.7:2375) zuzugreifen.
Die Lücke besteht unabhängig davon, ob Enhanced Container Isolation (ECI) aktiviert ist oder die Option „Expose daemon on tcp://localhost:2375 without TLS“ gesetzt wurde. Ein Angreifer kann so weitreichende privilegierte Befehle ausführen, darunter:
- Kontrolle über andere Container
- Erstellen neuer Container
- Verwaltung von Images
Unter bestimmten Umständen (z. B. Docker Desktop für Windows mit WSL-Backend) kann sogar das Host-Laufwerk mit Benutzerrechten eingebunden werden.
Nutzer sollten dringend auf die aktuelle Docker-Desktop-Version updaten: Release Notes