Docker Compose’da keşfedilen bir yol geçişi güvenlik açığı, saldırganların özel hazırlanmış OCI yapıları aracılığıyla ana sistemlere rastgele dosyalar yazmasına olanak tanıyor.
CVE-2025-62725 olarak takip edilen kusur, Ekim 2025’in başlarında keşfedildi ve 8,9 CVSS gibi yüksek bir önem derecesine sahip.
| CVE Kimliği | CVE-2025-62725 |
| Bileşen | Docker OCI Yapılarını Oluşturur |
| Güvenlik Açığı Türü | Yol Geçişi / Rastgele Dosya Yazma |
| CVSS 3.1 Puanı | 8,9 (Yüksek) |
| Etkilenen Sürümler | Docker Compose v2.40.2’den önce |
Güvenlik açığı, geliştirme ortamlarından kurumsal CI/CD işlem hatlarına ve bulut altyapısına kadar milyonlarca Docker Compose dağıtımını riske atıyor.
Güvenlik Açığı Nasıl Çalışır?
Docker Compose kısa süre önce OCI tabanlı Compose yapılarına yönelik desteği sunarak geliştiricilerin uzak kayıt defterlerinden Compose dosyalarını alıp eklemelerine olanak tanıdı.
Bu özellik taşınabilirliği artırırken dosya yolu doğrulamasında tehlikeli bir boşluk yarattı. Compose uzak OCI katmanlarını işlerken, indirilen dosyaların diskte nereye yazılması gerektiğini belirten ek açıklamalara güvenir.
Bir saldırgan, bu ek açıklamaları, amaçlanan önbellek dizininden tamamen kaçan yol geçiş sıralarıyla oluşturabilir ve dosyaların ana sistem üzerinde herhangi bir yere yazılmasına olanak tanır.
Güvenlik açığı bulunan kod, yolları diske yazmadan önce normalleştiremedi veya doğrulayamadı. Bu, bir saldırganın Compose’u, dosyaları SSH dizinleri, yapılandırma klasörleri gibi hassas sistem konumlarına veya Compose işleminin yazma izinlerine sahip olduğu diğer kritik alanlara yazmasına yönlendiren kötü amaçlı bir ek açıklama yerleştirebileceği anlamına gelir.
Bu güvenlik açığını özellikle tehlikeli kılan şey, kullanıcıların bunu tetiklemek için açıkça kapsayıcıları başlatmalarına gerek olmamasıdır.
“Docker compose ps” veya “docker compose config” gibi görünüşte zararsız komutlar, Compose’u uzak OCI yapıtlarını almaya ve yeniden oluşturmaya zorlayarak, kullanıcı güvenilmeyen içeriği işlediğini fark etmeden güvenlik açığını otomatik olarak tetikler.
Saldırganın yalnızca kurbanı, kötü amaçlı docker-compose.yaml dosyasını içeren bir dizinde herhangi bir Compose komutunu çalıştırması için kandırması gerekir.
Imperva tarafından bildirildiği üzere, kavram kanıtlama gösteriminde bir saldırgan, SSH genel anahtarını hedef sistemin yetkili_anahtarlar dosyasına enjekte ederek anında uzaktan erişim sağlayabilir.
Bu, herhangi bir kapsayıcı başlatılmadan ve kullanıcı tarafından herhangi bir açık yazma işlemi yapılmadan gerçekleşebilir. Saldırı zinciri basit ama yıkıcı derecede etkilidir.
Docker, Docker Compose v2.40.2 ve sonraki sürümlerinde doğru yol doğrulamayı sunan bir yama yayınladı.
Düzeltme, açıklamalardan türetilen tüm yolları diske yazmadan önce normalleştirir ve doğrular; önbellek dizini dışında çözümlenen veya mutlak yollar içeren tüm yolları reddeder.
Docker Compose kullanan kuruluşlar, kötüye kullanımı önlemek için hemen yamalı sürüme yükseltme yapmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.