A Docker lançou uma atualização de emergência para corrigir uma falha crítica no Docker Desktop que afeta usuários de Windows e macOS. A vulnerabilidade, identificada como CVE 2025 9074, permitia que um contêiner malicioso escapasse da sandbox e executasse comandos diretamente no sistema host. Com uma pontuação de severidade CVSS 9,3, a falha foi considerada de alto risco. O problema foi corrigido na versão 4.44.3 do Docker Desktop, e a empresa recomenda atualização imediata dos ambientes afetados.
A origem da falha está na exposição da API interna do Docker Engine em uma interface de rede (192.168.65.7:2375), sem autenticação ou controle de acesso. Essa configuração permitia que contêineres em execução pudessem enviar comandos diretamente para o Docker Engine. Na prática, era possível montar o drive C do sistema host dentro de um contêiner, possibilitando leitura e escrita de arquivos críticos. Isso representava risco direto de comprometimento total da máquina hospedeira. No Windows, o ataque poderia ser ainda mais grave em ambientes com backend WSL. Um atacante poderia escalar privilégios ao substituir arquivos sensíveis como DLLs do sistema operacional.
Em sistemas macOS, a exploração era mais limitada devido às proteções do sistema. Ainda assim, era possível alterar configurações do próprio Docker Desktop e comprometer seu funcionamento, mesmo sem privilégios administrativos. A versão para Linux não foi afetada, pois o Docker utiliza comunicação por pipe nomeado em vez de socket TCP, o que evita exposição indevida da API do Docker Engine. Especialistas reforçam que esse tipo de vulnerabilidade demonstra os riscos de confiar exclusivamente no isolamento de contêineres. Quando o controle de acesso é negligenciado, o contêiner pode se tornar um ponto de entrada para comprometer toda a infraestrutura.
