一、漏洞详情

Docker Desktop是Docker官方提供的一款桌面端应用，主要用于在Windows和macOS系统上便捷地运行和管理Linux容器。

近日，监测到Docker Desktop存在容器越权访问漏洞,该漏洞允许本地运行的恶意Linux容器绕过隔离机制，通过默认子网（192.168.65.7:2375）直接访问Docker Engine API。该漏洞不依赖挂载Docker socket，也不受“Expose daemon on tcp://localhost:2375 without TLS”开关或Enhanced Container Isolation（ECI）设置影响。一旦被利用，攻击者可执行创建和控制容器、管理镜像等高权限操作，甚至在Windows+WSL环境下挂载宿主机磁盘并访问用户级权限文件。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Docker Desktop < 4.44.3

三、修复建议

官方已发布安全补丁，升级至Docker Desktop 4.44.3及以上。