CVE-2025-9074 : cette faille critique dans Docker Desktop permet de pirater Windows
Une faille de sécurité critique dans Docker Desktop permet de compromettre le système hôte à partir d'un conteneur. Qui est affecté ? Comment se protéger ? Faisons le point.
Sommaire
Une faille SSRF qui expose l'API Docker Engine
Associée à la référence CVE-2025-9074 et à un score de gravité CVSSv4 de 9.3 sur 10, cette faille de type SSRF (Server-Side Request Forgery) est liée à l'API Docker Engine. Cette vulnérabilité permet à un conteneur malveillant d'accéder à des ressources internes et de prendre le contrôle du système d'exploitation hôte. En effet, le chercheur en sécurité Felix Boulet a fait la découverte suivante : l'API Docker Engine est accessible sans aucune authentification depuis l'intérieur d'un conteneur en cours d'exécution, via l'adresse http://192.168.65.7:2375/.
De son côté, Docker explique : "Un conteneur malveillant s'exécutant sur Docker Desktop pourrait accéder au Docker Engine et lancer des conteneurs supplémentaires sans nécessiter le montage du socket Docker." - Pour un attaquant, c'est une opportunité pour disposer d'un accès non autorisé aux fichiers du système hôte.
Une vidéo PoC a été publiée par le chercheur afin de démontrer qu'il est possible de créer et démarrer un nouveau conteneur qui monte le lecteur C: de l'hôte Windows, le tout avec de simples requêtes HTTP POST. Autrement dit, il n'a pas besoin d'avoir de droits d'exécution de code à l'intérieur du conteneur source.
Cette vulnérabilité est particulièrement dangereuse, car elle permet de contourner la fonctionnalité "Enhanced Container Isolation" (ECI), conçue pour renforcer l'isolation entre les conteneurs et l'hôte. "Cette vulnérabilité survient avec ou sans l'option Enhanced Container Isolation (ECI) activée, et avec ou sans l'option "Expose daemon on tcp://localhost:2375 without TLS" activée.", peut-on lire sur cette page.
Qui est affecté ? Comment se protéger ?
La faille de sécurité CVE-2025-9074 affecte Docker Desktop sur Windows et macOS, tandis que Linux n'est pas vulnérable. Surtout, elle affecte toutes les versions de Docker Desktop de la version 4.25 à la 4.44.2.
Le 20 août 2025, Docker a publié une nouvelle version : Docker Desktop 4.44.3. Cette mise à jour de sécurité corrige la vulnérabilité CVE-2025-9074, comme le mentionne le journal des modifications. Cette nouvelle version est donc dès à présent disponible.
Un impact plus sévère sur Windows que sur macOS
Philippe Dugre, ingénieur DevSecOps chez Pvotal Technologies, a affirmé que cette vulnérabilité était plus impactante sur Windows que sur macOS.
Sur Windows, les conséquences peuvent être désastreuses. "Sur Windows, puisque le Docker Engine s'exécute via WSL2, l'attaquant peut monter en tant qu'administrateur l'ensemble du système de fichiers, lire n'importe quel fichier sensible, et finalement écraser une DLL système pour élever ses privilèges à administrateur du système hôte.", explique-t-il dans un rapport.
Sur macOS, cette vulnérabilité est plus contenue grâce aux mécanismes de protection intégrés à l'OS d'Apple. "Sur macOS, cependant, l'application Docker Desktop dispose toujours d'une couche d'isolation supplémentaire et toute tentative de montage d'un répertoire utilisateur demande une autorisation à l'utilisateur.", précise-t-il.
Pour autant, il y a bien des risques sur macOS, même si l'application ne s'exécute pas avec des privilèges administratifs par défaut. Un attaquant pourrait toujours modifier la configuration ou insérer une porte dérobée dans les conteneurs existants sur la machine. D'ailleurs, l'exploit de Philippe Dugre pour exploiter cette vulnérabilité sur macOS tient sur 3 lignes de code Python.
Qu'en pensez-vous ?
