runc容器逃逸漏洞CVE-2025-52565深度解析

概述

CVE-2025-52565是一个影响runc容器运行时的高危漏洞，CVSS 4.0评分为8.4分。该漏洞由于绑定挂载检查不足，可能导致容器逃逸和拒绝服务攻击。

漏洞描述

runc是一个根据OCI规范生成和运行容器的CLI工具。在版本1.0.0-rc3至1.2.7、1.3.0-rc.1至1.3.2以及1.4.0-rc.1至1.4.0-rc.2中，由于在容器内将/dev/pts/$n绑定挂载到/dev/console时检查不足，攻击者可以诱骗runc将通常设置为只读或掩码的路径绑定挂载到攻击者可写的路径上。

此攻击在概念和应用上与CVE-2025-31133非常相似，不同之处在于它攻击的是不同目标中的类似漏洞（即为所有分配控制台的容器配置的/dev/pts/$n到/dev/console的绑定挂载）。这种情况发生在pivot_root(2)之后，因此不能直接用于写入主机文件——但是，与CVE-2025-31133一样，通过向攻击者提供/proc/sysrq-trigger或/proc/sys/kernel/core_pattern的可写副本，可能导致主机拒绝服务或容器逃逸。

该问题已在版本1.2.8、1.3.3和1.4.0-rc.3中修复。

受影响产品

ID	供应商	产品	操作
1	Linuxfoundation	runc

总受影响供应商：1 | 产品：1

CVSS评分

分数	版本	严重性	向量	可利用性分数	影响分数	来源
8.4	CVSS 4.0	高				security-advisories@github.com

解决方案

更新runc到已修复的版本以修复容器权限提升漏洞
更新runc到版本1.2.8、1.3.3或1.4.0-rc.3
确保正确实施绑定挂载检查

公共PoC/漏洞利用

在Github上有2个公共PoC/漏洞利用可用。

CWE分类

CWE-61: UNIX符号链接跟随
CWE-363: 启用链接跟随的竞争条件

CAPEC攻击模式

CAPEC-27: 通过符号链接利用竞争条件
CAPEC-26: 利用竞争条件

GitHub仓库

ctrsploit/ctrsploit

描述：容器环境渗透测试工具包
标签：docker, container, penetration-testing-tools
语言：Go, Dockerfile, C, Python, Shell, Makefile, HCL, Assembly
更新：11小时9分钟前
统计：112星，19分支，19观察者
创建时间：2021年8月3日5:58
已链接到29个不同的CVE

ssst0n3/ssst0n3

描述：无
更新：1天18小时前
统计：1星，0分支，0观察者
创建时间：2021年6月26日7:56
已链接到11个不同的CVE

漏洞时间线

新CVE接收

来源：security-advisories@github.com
日期：2025年11月6日

变更记录

添加描述
添加CVSS V4.0评分
添加CWE-363和CWE-61分类
添加多个相关参考链接