Se ha descubierto una vulnerabilidad de severidad crítica en Docker Desktop. Esta podría permitir a un actor malicioso evadir los mecanismos de autenticación y las funciones de seguridad en los sistemas afectados.
Productos afectados
- Docker Desktop, versiones anteriores a 4.44.3.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-9074: con una puntuación de 9.3 en CVSS v4.0. Existe una vulnerabilidad en Docker Desktop que permite a contenedores Linux locales el acceso a la API de Docker Engine a través de la subred Docker configurada en 192.168.65.7:2375 por defecto. La vulnerabilidad ocurre con o sin Enhanced Container Isolation (ECI) activado, e independientemente de si la opción “Expose daemon on tcp://localhost:2375 without TLS” está activada o no. Un actor malicioso podría aprovechar esta vulnerabilidad para ejecutar una diversidad de comandos con privilegios elevados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-9074
- https://docs.docker.com/desktop/release-notes/#4443