## runc v1.2.8 修复高危容器逃逸漏洞 CVE-2025-52565，涉及 /dev/console 挂载
开源容器运行时 runc 发布安全更新 v1.2.8，紧急修复一个可导致容器逃逸的高危漏洞 CVE-2025-52565。该漏洞与今年早些时候披露的 CVE-2025-31133 在概念和应用上高度相似，但攻击目标不同，针对的是所有分配了控制台的容器中 `/dev/pts/$n` 到 `/dev/console` 的绑定挂载配置。攻击者可通过恶意配置利用此漏洞，结合相关的竞态条件，实现从容器内部逃逸到宿主机系统，构成严重安全威胁。

该漏洞影响 runc 1.0.0-rc3 及之后的多个版本。GitHub 安全公告 GHSA-qw9x-cqr3-wc7r 和 Go 官方漏洞数据库 GO-2025-4097 均已收录此漏洞详情。此次更新将依赖从 v1.1.14 升级至 v1.2.8，属于次要版本更新，但核心驱动是安全修复。依赖管理提示显示，部分依赖项状态无法确认，需检查仪表板获取更多信息，这增加了在复杂供应链中及时应用补丁的潜在风险。

对于广泛使用 Docker、containerd 等基于 runc 的容器化技术的云服务、CI/CD 流水线和生产环境而言，此漏洞意味着直接的入侵风险。运维和安全团队需立即评估并升级其容器运行时基础组件，以阻断可能的攻击路径。此类针对底层运行时核心挂载机制的漏洞，再次凸显了容器安全供应链的脆弱性，以及对基础依赖进行持续漏洞监控的紧迫性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 容器安全, 漏洞, CVE-2025-52565, DevOps, 供应链安全
- **Credibility**: unverified
- **Published**: 2026-04-13 02:22:35
- **ID**: 61095
- **URL**: https://whisperx.ai/en/intel/61095