Windows için Docker masaüstünde, herhangi bir konteynerin basit bir sunucu tarafı istek asmeri (SSRF) saldırısı yoluyla tam ana bilgisayar sisteminden ödün vermesini sağlayan kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-9074 olarak adlandırılan kusur, Ağustos 2025’te yayınlanan Docker masaüstü sürüm 4.44.3’te yamalandı.
| CVE | Detaylar |
| CVE kimliği | CVE-2025-9074 |
| CVSS Puanı | Kritik (tahmini 9.0+) |
| Etkilenen ürün | Windows için Docker masaüstü |
| Savunmasız versiyonlar | <4.44.3 |
Güvenlik açığı, Docker’ın dahili HTTP API’sının http://192.168.65.7:2375/ adresinden herhangi bir kimlik doğrulama veya erişim denetimi olmadan ortaya çıkmasından kaynaklanmaktadır.
Bu uç noktaya, etkilenen Docker masaüstü kurulumunda çalışan herhangi bir kap içinden erişilebilir ve kritik bir güvenlik sınırı ihlali oluşturulmuştur.
Bir saldırgan, herhangi bir kaptan sadece iki HTTP sonrası isteği kullanarak bu kusuru kullanabilir. İlk istek, ana bilgisayarın C: sürücüsüne monte edilirken, ikincisi kötü niyetli konteyneri başlatır.
Bu basit saldırı zinciri, Windows ana bilgisayar dosya sistemine ve sistem kaynaklarına tam erişim sağlar.
Güvenlik açığını keşfeden araştırmacı, bir konteyner ortamında ağ keşfi yaparken yanlışlıkla buldu.
Docker’ın belgelenmiş özel ağ aralıklarına karşı NMAP gibi temel ağ tarama araçlarını kullanmak, açıkta kalan API uç noktasını ortaya çıkardı.
Bu güvenlik açığının güvenlik sonuçları şiddetlidir. Herhangi bir konteyner iş yükü potansiyel olarak tüm ana bilgisayar sistemini tehlikeye atabilir ve Docker’ın izolasyon mekanizmalarını tamamen atlayabilir.
Bu, saldırganların kapsayıcılar içinde çalışan web uygulamalarında yalnızca SSRF güvenlik açıklarına ulaştığı senaryoları içerir, çünkü kapsayıcı içinde kod yürütülmesi gerekmez.
Güvenlik açığı, PVOTAL Technologies’den güvenlik araştırmacısı Philippe Dugre’nin benzer bir sorunu belirlediği ve paylaşılan CVE ödevine yol açtığı Docker masaüstünü de etkiler.
Docker, güvenlik açığı açıklamasına hızlı bir şekilde yanıt verdi ve 4.44.3 sürümünde bir yama yayınladı. Kullanıcılar, bu riski azaltmak için Docker masaüstü kurulumlarını en son sürüme derhal güncellemelidir. Yama sürümünden bu yana bilinen bir sömürü bildirilmemiştir.
Güvenlik açığı konteyner güvenliği için kritik dersleri vurgular: Tüm kontrol düzlemi uç noktaları uygun kimlik doğrulamasını uygulamalıdır, ağ segmentasyonu konteyner ortamları etrafında uygulanmalıdır ve sıfır-tröst ilkeleri ana bilgisayar ortamlarında uygulanmalıdır.
CVE-2025-9074, görünüşte dahili API’lerin uygun erişim kontrolleri olmadan maruz kaldığında önemli güvenlik riskleri oluşturabileceğini kesin bir hatırlatma görevi görür.
Docker’ın hızlı yanıtı iyi güvenlik açığı yönetimi uygulamaları gösterirken, bu olay konteyner platformları için kapsamlı güvenlik değerlendirmelerinin öneminin ve konteyner ortamlarında uygun ağ izolasyonu ihtiyacının altını çizmektedir.
Windows için Docker Desktop kullanan kuruluşlar, 4.44.3 veya daha sonraki sürümlere güncellemeye öncelik vermeli ve benzer pozlama senaryolarını önlemek için konteyner güvenlik politikalarını gözden geçirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!