关键信息 漏洞描述 漏洞名称: Firewalld reload makes published container ports accessible from remote hosts CVE ID: CVE-2025-54388 严重性: 中等 (5.1/10) 影响范围 受影响版本: 28.2.x, 28.3.0, 28.3.1, 28.3.2 修复版本: >= 28.3.3 描述 Moby 是一个由 Docker Inc. 开发的开源容器框架,包括 Docker Engine、Mirantis Container Runtime 等。 Firewalld 是一些 Linux 发行版中使用的动态管理防火墙守护进程。 当 Firewalld 重新加载时,Docker 创建的 iptables 规则被移除,导致远程主机可以通过 Docker 桥接网络访问发布的端口。 影响 在受影响的 Docker 版本中,iptables 规则未重新创建,允许远程主机访问容器端口。 例如,通过 或 命令重新加载 Firewalld 后,其他主机可以访问发布到桥接网络的端口。 修复措施 使用 Moby 28.3.3 及以上版本。 解决方案 重新启动 Docker 守护进程。 重新创建桥接网络。 使用无根模式。 参考链接 https://firewalld.org/ https://firewalld.org/documentation/howto/reload-firewalld.html