CVE-2025-62725Docker Compose доверяет информации о пути, встроенной в удаленные артефакты OCI. Когда слой включает аннотации com.docker.coms.coms.extends или com.docker.comose.envfile, Compose присоединяется к значению, поставляемому злоумышленником, от com.docker.compose.file/com.com.coms.coms.coms.coms.coms.coms.invfile со своим местным каталогом кэша и записывает файл там. Это влияет на любую платформу или рабочий процесс, который разрешает удаленные артефакты композит OCI, Docker Desktop, автономные двоичные файлы cookie на Linux, CI/CD runners, облачные съемные среды. Злоумышленник может избежать каталога кэша и перезаписать произвольные файлы на машине, работающей докером, даже если пользователь выполняет только команды только для чтения, такие как docker compose config или docker compose ps. Эта проблема исправлена в v2.40.2.