Docker 和 Kubernetes 中使用的 runC 容器运行时被披露存在三个新漏洞，攻击者可利用这些漏洞绕过隔离限制，获取主机系统访问权限。

这三个安全问题的漏洞编号分别为 CVE-2025-31133、CVE-2025-52565 和 CVE-2025-52881（均为高危级别），由 SUSE 软件工程师于本周披露。

runC 是一款通用容器运行时，同时也是开放容器倡议（OCI）的容器运行参考实现。它负责执行创建容器进程、配置命名空间、挂载点和控制组等底层操作，供 Docker、Kubernetes 等上层工具调用。

攻击者利用这些漏洞可获取容器底层主机的写入权限，并获得 root 权限，具体漏洞细节如下：

·CVE-2025-31133：runC 通过绑定挂载 /dev/null 来 " 屏蔽 " 主机敏感文件。若攻击者在容器初始化阶段将 /dev/null 替换为符号链接，runC 可能会将攻击者控制的目标以可读写模式绑定挂载到容器中，进而允许攻击者写入 /proc 目录，实现容器逃逸。

·CVE-2025-52565：/dev/console 的绑定挂载可通过竞争条件或符号链接被重定向，导致 runC 在防护机制生效前，将非预期目标挂载到容器内。这同样会使 proc 文件系统的关键条目暴露可写入权限，为容器逃逸创造条件。

·CVE-2025-52881：攻击者可诱使 runC 向 /proc 目录执行写入操作，且该操作会被重定向至攻击者控制的目标。在部分版本中，该漏洞可绕过 Linux 安全模块（LSM）的重新标记防护，将 runC 的常规写入操作转化为对 /proc/sysrq-trigger 等危险文件的任意写入。

其中，CVE-2025-31133 和 CVE-2025-52881 影响所有版本的 runC，CVE-2025-52565 则影响 1.0.0-rc3 及后续版本的 runC。目前，runC 1.2.8、1.3.3、1.4.0-rc.3 及更高版本已提供修复补丁。

漏洞可利用性与风险

安全研究人员指出，利用这三个漏洞 " 需要具备以自定义挂载配置启动容器的能力 "，攻击者可通过恶意容器镜像或 Dockerfile 实现这一条件。

截至目前，尚无这些漏洞被在真实环境中主动利用的相关报告，但可通过监测可疑的符号链接行为，检测是否存在利用这三个安全漏洞的尝试。

runC 开发者已公布缓解措施，包括为所有容器启用用户命名空间，且不将主机 root 用户映射到容器命名空间中。 

这一预防措施可阻断攻击的关键环节，因为 Unix 自主访问控制（DAC）权限会阻止命名空间内的用户访问相关文件。

Sysdig 还建议，若条件允许，应使用无 root 权限容器，以降低漏洞被利用后可能造成的损害。