✅ レポートタイトル：Docker Composeの脆弱性分析 ― CVE-2025-62725

✅ レポートの要約：

- S2W脅威インテリジェンスセンター「TALON」は、Docker Composeで確認された任意ファイル書き込み脆弱性（CVE-2025-62725）に関する分析レポートを公開しました。

※ Docker Composeは、複数コンテナで構成されるDockerアプリケーションを定義および実行するためのツールです。

- 本脆弱性は、Docker ComposeがリモートOCI（Open Container Initiative）アーティファクトのレイヤーアノテーションを処理する過程において、ユーザー入力に対する検証が不十分であることに起因します。

- 以下に記載するDocker Composeのバージョンが本脆弱性の影響を受けます。

- v2.34.0 ≤ Docker Compose < v2.40.2

- CVE番号：CVE-2025-62725

- 公開日／修正日：2025-10-27

- 製品名：Docker Compose

- ベンダー：Docker Inc.

- 脅威アクター：N/A

- 影響を受けることが確認されているバージョン：

- v2.34.0 ≤ Docker Compose < v2.40.2

- 修正済みバージョン：

- v2.40.2 ≤ Docker Compose

- 報告者（アドバイザー）：

- masasron

- 本脆弱性は、リモートOCIアーティファクトのレイヤーアノテーションを処理する際に、ファイルパスに対する検証が不十分であることが原因で発生します。

- 攻撃者が細工したリモートOCIアーティファクトを被害者に参照させた場合、docker compose psのような読み取り専用コマンドを実行しただけでも脆弱性がトリガーされる可能性があります。

- 悪用された場合、攻撃者はキャッシュディレクトリの外に出て、ホストシステム上の任意のファイルを上書きすることが可能となります。

- 使用中のDocker Composeのバージョンは、CLI環境でdocker compose versionコマンドを実行することで確認できます。

- 脆弱なバージョンを使用している場合は、修正が適用されたv2.40.2以降のバージョンへアップデートすることを推奨します。

- アップデートが困難な場合は、以下の対策を講じることを推奨します。

- 信頼できない提供元のリモートOCIアーティファクトを参照するdocker composeコマンドの実行を禁止します。

- docker composeコマンドを実行するユーザーのファイルシステム権限を最小限に制限します。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。