CVE-2025-52565是runC组件中的高危安全漏洞,影响runC 1.0.0-rc3及后续版本,攻击者可利用该漏洞通过竞争条件或符号链接绕过安全机制,实现容器逃逸并获取宿主机权限。
漏洞原理
该漏洞与Linux文件挂载机制相关,攻击者在容器初始化阶段可操控挂载路径,将宿主机敏感文件(如procfs关键条目)以可写方式暴露给容器,进而修改内核参数或触发逃逸 。
影响范围
受影响版本:runC 1.0.0-rc3 及之后版本 。
涉及平台:Docker、Kubernetes等依赖runC的容器环境 。
修复方案
升级runC至修复版本:1.2.8、1.3.3、1.4.0-rc.3及以上 。
临时缓解措施:
启用用户命名空间并禁用主机root映射 。
限制容器挂载权限,避免使用privileged模式 。
风险提示
目前暂无公开的野外利用报告,但攻击者可通过恶意容器镜像或Dockerfile部署自定义挂载配置触发漏洞 。
