CVE-2025-14740— Docker Desktop 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2025-14740の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Docker Desktop for Windows Incorrect Permission Assignment Privilege Escalation Vulnerabilities
ソース: NVD (National Vulnerability Database)
脆弱性説明
Docker Desktop for Windows contains multiple incorrect permission assignment vulnerabilities in the installer's handling of the C:\ProgramData\DockerDesktop directory. The installer creates this directory without proper ownership verification, creating two exploitation scenarios: Scenario 1 (Persistent Attack): If a low-privileged attacker pre-creates C:\ProgramData\DockerDesktop before Docker Desktop installation, the attacker retains ownership of the directory even after the installer applies restrictive ACLs. At any time after installation completes, the attacker can modify the directory ACL (as the owner) and tamper with critical configuration files such as install-settings.json to specify a malicious credentialHelper, causing arbitrary code execution when any user runs Docker Desktop. Scenario 2 (TOCTOU Attack): During installation, there is a time-of-check-time-of-use (TOCTOU) race condition between when the installer creates C:\ProgramData\DockerDesktop and when it sets secure ACLs. A low-privileged attacker actively monitoring for the installation can inject malicious files (such as install-settings.json) with attacker-controlled ACLs during this window, achieving the same code execution outcome.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
关键资源的不正确权限授予
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Docker Desktop 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Docker Desktop是美国Docker公司的一个基于容器技术的用于轻量化部署应用的桌面软件。该产品可提供桌面环境可支持在Linux/Windows/Mac OS系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker Desktop存在安全漏洞,该漏洞源于安装程序处理C:ProgramDataDockerDesktop目录时存在多个权限分配不当问题,可能导致任意代码执行。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Docker Inc. | Docker Desktop | 0 ~ 4.56.0 | - |
II. CVE-2025-14740の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2025-14740のインテリジェンス情報
请登录查看更多情报信息。
- Published | Zero Day Initiativethird-party-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2025-14740
IV. 関連脆弱性
同じ製品: Docker Desktop
- CVE-2026-2664
Out of bounds read vulnerability in grpcfuse kernel module - CVE-2025-13743
Expired Personal Access Tokens (PATs) are recorded in Docker - CVE-2025-9164
Multiple DLL Search Order Hijacking Vulnerabilities in Docke - CVE-2025-10657
Docker Desktop with ECI Fails to Enforce Socket Command Rest - CVE-2025-9074
Docker Desktop allows unauthenticated access to Docker Engin
同じベンダー: Docker Inc.
- CVE-2024-6222
In Docker Desktop before v4.29.0 an attacker who has gained - CVE-2024-5652
In Docker Desktop on Windows before v4.31.0 allows a user in - CVE-2023-0633
In Docker Desktop on Windows before 4.12.0 an argument injec - CVE-2023-0627
Docker Desktop 4.11.x allows --no-windows-containers flag by - CVE-2023-0626
Docker Desktop before 4.12.0 is vulnerable to RCE via query
同じ弱点: CWE-732
- CVE-2026-41288
WatchGuard Agent on Windows Privilege Escalation Vulnerabili - CVE-2026-41686
Claude SDK for TypeScript has Insecure Default File Permissi - CVE-2026-6499
ILM Informatique OpenConcerto 安全漏洞 - CVE-2026-41366
OpenClaw < 2026.3.31 - Arbitrary Host File Read via appendLo - CVE-2026-35367
uutils coreutils nohup Information Disclosure via Insecure D
V. CVE-2025-14740へのコメント
まだコメントはありません