✅ 보고서 제목: Docker Compose 취약점 분석 - CVE-2025-62725

✅ 보고서 요약:

- S2W 위협 인텔리전스 센터 TALON에서 Docker Compose*에서 발견된 Arbitrary File Write 취약점인 CVE-2025-62725에 대한 분석 보고서를 발행했습니다.

* Docker Compose: 다중 컨테이너 Docker 애플리케이션을 정의하고 실행하기 위한 도구

- 본 취약점은 Docker Compose가 원격 OCI(Open Container Initiative) 아티팩트 레이어의 어노테이션을 처리하는 과정에서 사용자 입력 값 검증 부재로 발생하는 Arbitrary File Write 취약점입니다.

- 하단에 기재된 Docker Compose 버전이 본 취약점의 영향을 받습니다.

- v2.34.0 ≤ Docker Compose < v2.40.2

- CVE Number: CVE-2025-62725

- Disclosure or Patch Date: 2025-10-27

- Product: Docker Compose

- Vendor: Docker Inc.

- Threat Actor: N/A

- Confirmed Affected Version:

- v2.34.0 ≤ Docker Compose < v2.40.2

- Patched Version:

- v2.40.2 ≤ Docker Compose

- Reporter(Advisor):

- masasron

- 본 취약점은 원격 OCI 아티팩트의 레이어 어노테이션을 처리하는 과정에서 파일 경로에 대한 검증이 부족하여 발생합니다.

- 공격자가 조작된 원격 OCI 아티팩트를 피해자가 참조하도록 유도할 경우, docker compose ps와 같은 읽기 전용 명령어를 수행하더라도 취약점이 트리거될 수 있습니다.

- 취약점이 악용될 경우, 공격자는 캐시 디렉토리를 벗어나 호스트 시스템의 임의 파일을 덮어쓸 수 있습니다.

- 사용 중인 Docker Compose 버전은 CLI 환경에서 docker compose version 명령어를 통해 확인 가능합니다.

- 취약한 버전의 Docker Compose를 사용 중인 경우, 패치가 적용된 v2.40.2 이후 버전으로 업데이트를 권장합니다.

- 업데이트가 불가능한 경우, 다음과 같은 조치를 적용할 것을 권장합니다.

- 신뢰할 수 없는 출처의 원격 OCI 아티팩트를 참조하는 docker compose 명령 실행을 금지합니다.

- docker compose 명령을 실행하는 사용자의 파일 시스템 권한을 최소한으로 제한합니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.