Vulnerabilidad en Docker Desktop permitió la toma de control del host en Windows y macOS
Se corrigió una vulnerabilidad crítica (CVE-2025-9074) en Docker Desktop para Windows y macOS. Esta falla permitía que un contenedor malicioso escapara y obtuviera acceso de administrador al equipo host.
Se ha corregido una falla de seguridad en Docker Desktop, una aplicación popular para desarrolladores, tras descubrirse que permitía a atacantes acceder a contenedores aislados y tomar el control total de un equipo. Esta vulnerabilidad, conocida oficialmente como CVE-2025-9074 y con una puntuación crítica de 9,3 sobre 10, afecta tanto a las versiones de Windows como a las de macOS.
La falla , corregida en la versión 4.44.3 de Docker Desktop el 20 de agosto de 2025, permite que un programa malicioso que se ejecuta dentro de un contenedor obtenga acceso no autorizado al equipo principal. Para su información, los contenedores son entornos aislados que mantienen las aplicaciones separadas del sistema host, pero este problema de seguridad eludió dicha protección.
El problema residía en que el sistema de comunicación interno del motor Docker , un tipo de dirección web conocida como API HTTP, estaba expuesto sin ninguna comprobación de seguridad. Esto significaba que un contenedor con código malicioso podía conectarse a la API, crear un nuevo contenedor con privilegios especiales y acceder a los archivos del equipo host. El atacante podía entonces modificar el sistema para obtener control de administrador. Esto se conoce como vulnerabilidad de "escape de contenedor" o "fuga de contenedor".
La vulnerabilidad era tan grave que funcionaba incluso si el usuario tenía activada la función de Aislamiento de Contenedores Mejorado (ECI) de Docker, diseñada para prevenir este tipo de ataques. En Windows, un atacante podría incluso usar esta falla para sobrescribir archivos importantes del sistema y tomar el control de todo el equipo.
Docker lanzó rápidamente un parche para solucionar el problema en la versión 4.44.3. La compañía afirmó que la vulnerabilidad se había solucionado, impidiendo que un contenedor malicioso accediera al motor Docker para iniciar otros contenedores.
Este incidente hace que sea crucial que todos los usuarios de Docker Desktop se mantengan alerta. Para garantizar su seguridad, primero actualice todo su software, incluido Docker Desktop, a la versión 4.44.3. Segundo, refuerce su configuración evitando configuraciones demasiado permisivas, como el comando –privileged, y restringiendo el acceso a los contenedores. Finalmente, supervise continuamente su sistema para detectar cualquier actividad sospechosa, como un uso inusual de recursos, y así detectar programas maliciosos.
“ Docker Desktop es una herramienta muy útil para ejecutar entornos y aplicaciones aislados sin tocar el sistema host, y esta vulnerabilidad esencialmente traspasa ese límite y permite a un usuario malintencionado explorar el sistema de archivos del host, que se supone que está fuera del alcance del contenedor ” , dijo la Sra. Nivedita Murthy, consultora sénior de Black Duck, un proveedor de soluciones de seguridad de aplicaciones con sede en Burlington, Massachusetts.
“ La comunidad de desarrolladores utiliza Docker Desktop con frecuencia en sus sistemas, que son principalmente Windows o, en algunos casos, también Mac ” , señaló. “ Los equipos de TI deben impulsar las actualizaciones y alertar a todos los usuarios para que actualicen de inmediato. También deben buscar proactivamente en los recursos de la organización cualquier versión instalada del software y eliminarla o actualizarla según sea necesario para garantizar que la organización ofrezca un desarrollo rápido y confiable”, aconsejó Nivedita.
HackRead
