关键漏洞信息 漏洞摘要 CVE编号: CVE-2025-52565 影响版本: runc commit 报告人: Lei Wang、Li Fu Bang、lfbxhm、Aleksa Sarai 漏洞描述 在恶意容器中,攻击者可以通过创建 的符号链接,诱使 runc 在执行绑定挂载时解析错误的目标路径。这可能使攻击者执行如下操作: - 坚持 目录下的条目,之后被 runc 隐藏 - 通过内核的 core_pattern ( ) 逃逸容器 解决方案 添加 调用来获取 PTY,而不需访问容器内的 目录。 引入 函数,确保 O_NOCTTY 标志始终设置,防止 runc 误将 PTY 视作控制终端,同时防止句柄泄漏。 相关部分代码如下: 其他信息 与早期的 相比,此漏洞通过 目录的攻击可能性已显著减小,但未完全消除。 代码修改了多个文件,包括 和 等。