CVE-2026-45630
CriticalCVSS 9.0Summary
Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach 0.28.8 i wcześniejszych, uwierzytelniona podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym application.updateTraefikConfig tRPC pozwala użytkownikom z uprawnieniami administratora/ właściciela na wykonywanie dowolnych poleceń systemowych na zdalnych serwerach poprzez niesanitarną interpolację polecenia echo.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym z odpowiednimi uprawnieniami wykonanie dowolnych poleceń na serwerze, co może prowadzić do przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację Dokploy do wersji nowszej niż 0.28.8 oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych w celu zminimalizowania ryzyka wstrzykiwania poleceń.
Original NVD description (English source)
Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.28.8 and earlier, authenticated OS command injection in the application.updateTraefikConfig tRPC endpoint allows admin/owner users to execute arbitrary system commands on remote servers via unsanitized echo shell interpolation.

