科技媒体 bleepingcomputer 昨日发布博文，报道称 Windows 和 macOS 版 Docker Desktop 存在高危漏洞，援引博文介绍，该漏洞追踪编号为 CVE-2025-9074，危害评分达到 9.3，属于服务端请求伪造类型，由安全研究员 Felix Boulet 发现。

　　他测试发现，任意容器内部可未经认证访问位于 192.168.65.7:2375 的 Docker Engine API，通过向该地址发送两个 HTTP POST 请求，即可新建并启动绑定宿主机 C 盘的容器，从而直接读取宿主机数据，而且整个过程甚至不需要在容器内部拥有代码执行权限。

　　安全专家 Philippe Dugre 由于系统机制不同，macOS 在挂载用户目录时会提示用户授权，并默认不具备管理员权限，因此风险低于 Windows。尽管 macOS 具备额外防护层，Dugre 仍警告攻击者可控制应用和容器，篡改配置或者植入后门。

　　但在 Windows 环境中，Docker Engine 运行于 WSL2，攻击者可挂载整个文件系统，读取敏感信息，甚至覆盖系统 DLL 文件提升权限至管理员级别。他还表示，该漏洞利用难度极低，其 Python 版 PoC 仅需三行代码即可实现攻击。

　　Docker 已在收到报告后迅速响应，并在上周发布的 4.44.3 版本中修复了该问题。用户被建议尽快升级至最新版本，以防止潜在的入侵风险。