Runc on 办公AI智能小助手

runc容器逃逸漏洞：技术深度剖析

Sat, 06 Dec 2025 12:34:42 +0800

runc容器逃逸漏洞：技术概述

作者：Matteo Bisi, ReeVo公司DevSecOps团队负责人兼CNCF KCD组织者

本文涉及到的CNCF项目

2025年11月，runc中一组高危漏洞被公开披露，这些漏洞允许攻击者实现完整的容器逃逸。Runc是Linux上容器化的基石，是Docker、Podman和Kubernetes等行业标准工具默认的低层容器运行时。其普遍性意味着runc中的一个漏洞对整个云原生生态系统具有深远的影响。本文总结了这些漏洞、受影响的版本以及推荐的缓解措施。

研究人员发现严重runC漏洞，可实现完整容器逃逸

Sun, 23 Nov 2025 22:52:02 +0800

研究人员发现严重runC漏洞，可实现完整容器逃逸

安全研究人员披露了runC中的三个严重漏洞，runC是符合开放容器倡议(OCI)的运行时，为Docker和Kubernetes等平台提供支持。这些漏洞可能允许攻击者突破容器隔离并获取主机系统的控制权。这些漏洞被追踪为CVE-2025-31133、CVE-2025-52565和CVE-2025-52881，源于runC在管理临时绑定挂载、符号链接(symlinks)和某些写操作方面的弱点。它们可被组合利用以实现完整的容器逃逸甚至主机级入侵。

runc容器逃逸漏洞分析：procfs写入导致的安全突破

Wed, 19 Nov 2025 15:29:20 +0800

runc容器逃逸漏洞：通过procfs写入实现安全突破

漏洞概述

本文披露了三个高危runc容器逃逸漏洞（CVE-2025-31133、CVE-2025-52565和CVE-2025-52881），攻击者可通过不同的方法绕过runc对/proc文件写入的限制，实现完整的容器逃逸。