一、 漏洞 CVE-2025-54388 基础信息
漏洞信息
# Moby Firewalld 重载端口暴露漏洞
## 概述
Moby 是由 Docker Inc. 开发的一个开源容器框架,作为 Docker Engine、Mirantis Container Runtime 及其它下游项目/产品发布。在特定版本中,当 firewalld 服务重新加载时,会导致 Docker 创建的 iptables 规则被删除且未完全恢复。
## 影响版本
受影响版本:28.2.0 至 28.3.2
修复版本:28.3.3
## 细节
当 firewalld 服务被重新加载时,它会清除所有 iptables 规则,包括由 Docker 创建的规则。正常情况下 Docker 应能自动恢复这些规则,但在 28.3.3 之前的版本中,**未正确重建阻止外部访问容器的规则**。
因此,如果容器端口被发布到 localhost(如 `127.0.0.1:8080`),在 firewalld 重载后,这些端口可能**从远程机器访问到**,只要远程机器可以路由到 Docker 网桥网络。
## 影响
该漏洞使得本应仅限于本地访问的容器端口,在 firewalld 重载后可能**对外部网络开放**,从而增加未授权访问的风险。
**仅影响显式发布(exposed/published)的端口**,未发布的容器端口仍然受保护。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-54388 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54388 的情报信息
-
标题: [28.x backport] Fix firewalld reload for per-endpoint rules by robmry · Pull Request #50506 · moby/moby · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![[28.x backport] Fix firewalld reload for per-endpoint rules by robmry · Pull Request #50506 · moby/moby · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-07-30/screenshot-full-2025-07-30T16-40-20.679Z-cace23314cbe50ea0391.webp)
-
标题: Firewalld reload makes published container ports accessible from remote hosts · Advisory · moby/moby · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Merge pull request #50506 from robmry/backport-28.x/fix_firewalld_reload · moby/moby@bea959c · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-54388
四、漏洞 CVE-2025-54388 的评论
暂无评论