最近在 Runc (註)容器運行時中發現的幾個漏洞可被利用來逃逸容器並獲得對主機系統的 root 存取權。Runc 是一個輕量級、通用型的容器運行時，是 Docker、Kubernetes 等主要容器編排與管理工具的核心元件。SUSE Linux 的 Aleksa Sarai 上週透露，他和其他幾位研究人員發現並報告了一些可能導致「容器完全崩潰」的潛在嚴重漏洞，這些漏洞的編號分別為CVE-2025-31133、CVE-2025-52565 和 CVE-2025-52881，惡意容器可以利用這些漏洞進行攻擊。

註：
Runc 是一個底層工具，專為建立和運行容器而設計。它被 Kubernetes、Docker 和其他平台使用。

這些漏洞的 CVSS 評分均為 4.0，屬於「中等嚴重性」類別。然而，Sarai 指出，這些評分「是基於 runc 的威脅模型」，而從「Docker 或 Kubernetes 等網路系統」的角度來看，它們的嚴重性要高得多。這凸顯了在複雜的容器生態系統中評估風險時，單純依賴基礎元件的 CVSS 評分可能不足以反映實際的威脅。

在現代雲端原生環境中，容器的安全邊界至關重要。一旦容器運行時存在漏洞允許惡意容器逃逸，攻擊者便能夠突破容器沙箱的限制，取得對底層主機系統的控制權，進而可能影響在同一主機上運行的所有其他容器和服務，造成廣泛的資料洩露或營運中斷。對於大量依賴容器技術來部署和管理應用程式的企業而言，這些 Runc 漏洞代表了不容忽視的重大安全隱患。

由於 Runc 的廣泛採用，及時修補這些漏洞對維護容器基礎設施的安全至關重要。企業應立即檢查其容器化環境中 Runc、Docker 和 Kubernetes 等相關元件的版本，並應用最新的安全補丁，以防止惡意容器利用這些已披露的漏洞實施容器逃逸攻擊。