検出

Docker Desktop < 4.54.0 機密データの漏洩

low Nessus プラグイン ID 278980

Language:

概要

リモートホストには、コンテナエスケープ脆弱性の影響を受けるアプリケーションがインストールされています。

説明

Docker Desktop のバージョンは 4.54.0 より前です。したがって、データ漏洩の脆弱性の影響を受けます。
Docker Desktop 診断バンドルのログ出力に、エラーオブジェクトのシリアル化のために期限切れの Hub PAT が含まれていることが見つかりました。これにより、特にアクセス拒否エラーが発生した場合、エクスポートされた診断に機密情報が漏洩するリスクが生じます。(CVE-2025-13743)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Docker Desktop バージョン 4.54.0 以降にアップグレードしてください

参考資料

https://docs.docker.com/security/security-announcements/

https://docs.docker.com/desktop/release-notes/#4540

プラグインの詳細

深刻度: Low

ID: 278980

ファイル名: docker_cve-2025-13743.nasl

バージョン: 1.4

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/12/17

更新日: 2026/2/24

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2025-13743

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Low

Base Score: 2.4

Threat Score: 0.4

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/a:docker:docker

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/12/4

脆弱性公開日: 2025/12/4

参照情報

CVE: CVE-2025-13743

IAVA: 2025-A-0926-S