Vulnerabilidade CVE-2025-4095 afeta controle de acesso a registros e já tem correção disponível na versão 4.41
O Docker Desktop para macOS foi afetado por uma nova falha de segurança que pode permitir a instalação de imagens maliciosas por usuários não autorizados. Registrada sob o código CVE-2025-4095, a vulnerabilidade está relacionada ao Registry Access Management (RAM), recurso que deveria restringir o acesso de desenvolvedores a determinados registros de contêineres.
Falha na política de acesso permite bypass em registries
De acordo com a descrição da falha, quando uma configuração de perfil do macOS é usada para forçar o login organizacional, as políticas de acesso configuradas via RAM não são aplicadas corretamente. Com isso, usuários podem ignorar as restrições e baixar imagens não autorizadas, que podem incluir códigos maliciosos.
Classificada como de severidade média, a falha tem o potencial de colocar em risco a integridade de sistemas e ambientes corporativos, principalmente em equipes que usam Docker para desenvolvimento e deploy.
Docker já lançou atualização com correção
A boa notícia é que a falha já foi corrigida pela equipe do Docker. A versão 4.41 do Docker Desktop para macOS já inclui a atualização de segurança e pode ser baixada imediatamente.
🔒 Recomendação: Administradores de TI devem atualizar todas as instalações afetadas o mais rápido possível para mitigar o risco.
O que é o Docker Desktop?
O Docker é uma das plataformas mais populares para criação e gerenciamento de contêineres, utilizados no desenvolvimento, testes e implantação de aplicações. Esses contêineres empacotam tudo que uma aplicação precisa para rodar em um único arquivo, chamado imagem, o que facilita a portabilidade e padronização de ambientes.
O Docker Desktop é a versão para macOS (e Windows) da ferramenta, oferecendo uma interface para gerenciar imagens e contêineres localmente. Ele permite logins automáticos e integração com diferentes registries, como DockerHub, Amazon ECR, Google Container Registry e Azure, entre outros.
Referência técnica
Para entender melhor o tipo de falha envolvido, consulte também a classificação CWE-862: Missing Authorization (4.17), que descreve vulnerabilidades causadas pela ausência de validação adequada de permissões.