CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-45628

Critical
Published: Translated: NVD NIST

Summary

Dokploy to darmowa platforma PaaS, która w wersji 0.29.2 i wcześniejszych buduje polecenia powłoki przy użyciu szablonów JavaScript i wykonuje je za pomocą child_process.exec(). Nazwy gałęzi, adresy URL repozytoriów oraz dane uwierzytelniające Docker dostarczane przez użytkownika są interpolowane bezpośrednio do tych poleceń bez odpowiedniego zabezpieczenia.

Risk Assessment

Podatność ta może prowadzić do wykonania dowolnego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji, zwłaszcza w przypadku użytkowników z uprawnieniami do tworzenia lub edytowania aplikacji.

Recommendation

Zaleca się aktualizację Dokploy do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja i sanitizacja danych wejściowych od użytkowników.

Original NVD description (English source)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.29.2 and earlier, Dokploy constructs shell commands using JavaScript template literals and executes them via child_process.exec() (which runs through /bin/sh -c). User-supplied branch names, repository URLs, and Docker credentials are interpolated directly into these commands without escaping. This requires an authenticated user with application create/edit privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS