Docker Windows版存在SSRF漏洞(CVE-2025-9074)

一、漏洞簡述

Docker Windows 桌機版是一款在 Windows 系統上運行的容器管理工具,透過容器技術簡化應用部署與管理。

CVE-2025-9074|CVSS:9.3

此為伺服器請求偽造 (SSRF) 漏洞,允許攻擊者利用 API 執行各種特權指令,包括控制其他容器、管理映像等。此外,該漏洞還允許攻擊者以與執行 Docker Desktop 的使用者相同的權限掛載主機磁碟機。Docker 已釋出更新版本修補該問題。

二、設備/版本影響

Docker Desktop 4.44.3(不含)之前版本

三、建議處置

更新至 Docker Desktop 4.44.3(含)之後版本

四、相關連結

  1. Docker Desktop release notes
  2. CVE-2025-9074