Docker、Kubernetes 等容器平臺依賴的底層運行時 runc 曝出三個關鍵漏洞，攻擊者可利用這些漏洞突破容器隔離限制，獲取宿主機 root 權限。目前尚未發現活躍攻擊跡象。

這些漏洞通過競爭掛載條件和 procfs 寫入重定向機制突破容器邊界。攻擊者需具備使用自定義掛載配置啟動容器的能力，惡意容器鏡像和 Dockerfile 成為主要攻擊媒介。Sysdig 威脅研究團隊已分析全部三個漏洞，并為全球受影響組織提供詳細緩解建議。

runc 漏洞導致容器隔離失效

（CVE-2025-31133）利用 runc 的 maskedPaths 功能缺陷，該功能本應保護宿主機敏感文件不被容器訪問。攻擊者在容器創建階段將 /dev/null 替換為符號鏈接，誘騙 runc 掛載任意宿主機路徑并向 /proc/sys/kernel/core_pattern 等關鍵系統文件寫入數據，最終實現容器逃逸。

（CVE-2025-52565）針對容器初始化階段的 /dev/console 掛載操作。

由于驗證機制不完善，攻擊者可重定向掛載點獲取受保護 procfs 文件的寫入權限。該攻擊之所以成功，是因為掛載操作發生在 maskedPaths 和 readonlyPaths 保護機制生效之前。

（CVE-2025-52881）使攻擊者能通過共享掛載的競爭條件繞過 Linux 安全模塊（LSM）保護。攻擊者可重定向 runc 寫入操作至偽造的 procfs 文件，進而操控 /proc/sysrq-trigger 或 /proc/sys/kernel/core_pattern 等危險系統文件，可能導致系統崩潰或容器逃逸。

受影響版本及修復方案

CVE-2025-31133 和 CVE-2025-52881 影響所有已知 runc 版本，CVE-2025-52565 影響 1.0.0-rc3 及后續版本。所有漏洞已在 runc 1.2.8、1.3.3 和 1.4.0-rc.3+ 版本中修復。

使用容器化環境的企業應立即升級至修復版本。Sysdig 威脅研究團隊建議為所有容器啟用用戶命名空間，通過限制 procfs 文件系統訪問阻斷關鍵攻擊路徑。采用 rootless 容器可進一步縮小漏洞影響范圍。AWS、ECS、EKS 等云服務商已于 2025 年 11 月 5 日發布安全更新。