Docker ComposeにCVSS 8.9の高リスク 更新を：セキュリティニュースアラート

Docker Composeに、リモートのOCIアーティファクト処理時のパス検証不備による深刻な脆弱性が報告された。攻撃者による任意ファイル上書きが可能であり、CVSS 8.9（High）と評価されている。修正版への更新が推奨されている。

[後藤大地，ITmedia]

　Dockerは「Docker Compose」に関する深刻な脆弱（ぜいじゃく）性を公表した。リモートのOCI（Open Container Initiative）アーティファクトのレイヤー注釈を処理する際のパス検証の不備に起因する問題とされ、攻撃者が任意のファイルを上書きできる可能性がある。共通脆弱性評価システム（CVSS）v4.0のスコアは8.9で、深刻度「重要」（High）と評価されている。

Docker ComposeのOCI処理に重大な設計欠陥

　対象の脆弱性は脆弱性情報データベース（CVE）に登録されている。CVE情報は次の通りだ。

• CVE-2025-62725：　Docker ComposeがリモートのOCI Composeアーティファクトに埋め込まれたパス情報を信用してしまう設計上の問題によって発生する。ComposeはOCIアーティファクトの各レイヤーに含まれる注釈「com.docker.compose.extends」や「com.docker.compose.envfile」の指定値を、ローカルのキャッシュディレクトリと結合し、その場所にファイルを書き込む。攻撃者が細工したアーティファクトを提供した場合、意図しないパスへの書き込みを誘発し、キャッシュディレクトリ外へのファイル上書きが可能となる

　影響を受けるバージョンは次の通りだ。

• Docker Compose v2.40.2より前の全てのバージョン

　修正済みのバージョンは次の通りだ。

• Docker Compose v2.40.2およびこれ以降のバージョン

　影響範囲は広く「Docker Desktop」環境、「Linux」のスタンドアロンComposeバイナリ、CI/CDランナー、クラウド開発環境など、OCI Composeアーティファクトを解決する仕組みを持つ全てのワークフローが対象となる。

　開発者がコンテナを実際に起動せずとも、設定内容の確認などで利用される「docker compose config」や「docker compose ps」といった読み取り専用コマンドの実行時にも脆弱性が悪用される可能性がある。

　Docker Composeは、複数のサービスを構成ファイルで定義し、一括して実行・管理できるツールとして広く利用されている。修正版ではキャッシュディレクトリ外への書き込みを防止するためのチェックが追加され、悪意のあるアーティファクトによるファイル上書きが発生しないよう対策が講じられている。回避策は提供されていないため、ユーザーは速やかにv2.40.2に更新することが推奨される。