De Amerikaanse National Vulnerability Database (NVD) heeft drie kwetsbaarheden in runC geïdentificeerd. Deze container-runtime, gebruikt door Docker en Kubernetes, dient als referentie-implementatie van de Open Container Initiative (OCI). De kwetsbaarheden, aangeduid als CVE-2025-31133, CVE-2025-52565 en CVE-2025-52881, kunnen de scheiding tussen container en hostsysteem doorbreken via manipulatie van mounts en symbolische links. Volgens nvd.nist.gov ontstaat het risico wanneer een aanvaller invloed heeft op de mount-creatie binnen een container. Door symlinks of racecondities kan runC onbedoeld hostbestanden in de container mounten, wat schrijfrechten op gevoelige systeempaden kan geven. Dit kan leiden tot een container-escape, waarbij een aanvaller code met rootrechten op de host kan uitvoeren.

De kwetsbaarheden zijn ontdekt door SUSE-ontwikkelaar en OCI-bestuurslid Aleksa Sarai. Hij legt op GitHub uit dat runC soms vertrouwt op tijdelijke bind-mounts van bijvoorbeeld /dev/null om gevoelige paden te maskeren. Als een aanvaller tijdens de containerinitialisatie een symlink plaatst, kan runC per ongeluk een aanvaller-gedefinieerd doel mounten. Dit opent de mogelijkheid tot schrijfbewerkingen in kritieke kernelinterfaces. Volgens de NVD zijn CVE-2025-31133 en CVE-2025-52881 universeel en treffen alle runC-versies, terwijl CVE-2025-52565 specifiek is voor versies vanaf 1.0.0-rc3. De kwetsbaarheden zijn opgelost in runC-versies 1.2.8, 1.3.3 en 1.4.0-rc.3. BleepingComputer meldt dat de fouten theoretisch kunnen worden misbruikt via gemanipuleerde Docker-images. Sysdig-onderzoekers geven aan dat de aanval niet triviaal is, omdat specifieke mountopties nodig zijn. Als deze voorwaarde wordt vervuld, kan de containerisolatie volledig worden doorbroken. Sysdig adviseert om logbestanden te monitoren op verdachte symlink-activiteiten. Er zijn geen aanwijzingen dat de kwetsbaarheden actief worden uitgebuit, maar de eenvoud van de architectuurlaag en de hoge privileges van runC maken de risico’s aanzienlijk. De ontwikkelaars van runC raden aan om snel te updaten naar de nieuwste versie en extra beveiligingsmechanismen te gebruiken, zoals user namespaces en rootless containers.