漏洞风险提示（20251031）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Docker Compose OCI 路径遍历漏洞（CVE-2025-62725）
一、漏洞描述：
        
        Docker Compose 是一款流行的容器编排工具，用于定义和运行多容器 Docker 应用程序，广泛应用于开发、测试和生产环境中，助力用户轻松管理复杂的分布式系统。
        Docker Compose 信任远程 OCI artifacts 中嵌入的路径信息。攻击者通过精心构造的 OCI artifacts（com.docker.compose.extends 或 com.docker.compose.envfile），当用户运行 docker compose ps 等命令时，会突破文件系统目录限制创建或覆盖任意文件。
二、风险等级：
        高
三、影响范围：
        Docker Compose v2.40.2之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/docker/compose/releases/tag/v2.40.2

---

2 Docker Desktop 安装程序 DLL 劫持漏洞（CVE-2025-9164）
一、漏洞描述：
        
        Docker Desktop是一款为开发者提供的跨平台容器管理工具，支持Windows和macOS系统。
        该漏洞源于不安全的DLL搜索顺序。安装程序在查找DLL时，会优先在用户的Downloads文件夹中搜索，而非系统目录。这使得攻击者可通过在该文件夹中放置恶意DLL，实现本地权限提升。
二、风险等级：
        高
三、影响范围：
        Docker Desktop for Windows ≤ 4.48.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.docker.com/desktop/release-notes/

---

3 OpenObserve权限管理错误漏洞（CVE-2024-55954）
一、漏洞描述：
        
        OpenObserve是OpenObserve开源的一个云原生可观察性平台。
        OpenObserve 0.14.1之前版本的/api/{org_id}/users/{email_id}端点存在权限管理错误漏洞，具有管理员角色权限的攻击者可利用该漏洞移除具有更高权限的Root用户，从而通过移除最高权限账户完全控制系统。
二、风险等级：
        高
三、影响范围：
        OpenObserve  V0.14.1之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/openobserve/o ... GHSA-m8gj-6r85-3r6m

---

4 xwiki orderField HQL注入漏洞（CVE-2025-52472）
一、漏洞描述：
        
        XWiki Platform 是一个通用的wiki平台，为在其上构建的应用程序提供运行时服务。
        在进行搜索时，orderField参数存在HQL注入漏洞，未经授权的远程攻击者可以利用该接口执行HQL语句，导致系统内的敏感信息泄漏。
二、风险等级：
        高
三、影响范围：
        XWiki Platform
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://jira.xwiki.org/browse/XWIKI-23247

---