CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-45632

CriticalCVSS 9.9
Published: Updated: Translated: NVD NIST

Summary

Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach 0.26.7 i wcześniejszych, router harmonogramu nie wymusza kontroli organizacji/roli, co pozwala każdemu uwierzytelnionemu użytkownikowi na tworzenie, aktualizowanie, uruchamianie lub usuwanie harmonogramów należących do innych organizacji, jeśli zna scheduleId/serverId.

Risk Assessment

Ryzyko dla organizacji polega na tym, że nieautoryzowani użytkownicy mogą manipulować harmonogramami innych organizacji, co może prowadzić do wykonania złośliwego kodu na serwerze Dokploy lub docelowym serwerze.

Recommendation

Zaleca się aktualizację do najnowszej wersji Dokploy, aby wprowadzić odpowiednie kontrole organizacji/roli w routerze harmonogramu oraz monitorowanie dostępu do harmonogramów.

Original NVD description (English source)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.26.7 and earlier, the schedule router does not enforce organization/role checks. As a result, any authenticated user can create, update, run, or delete schedules belonging to other organizations if they know the scheduleId/serverId. Schedule types server and dokploy-server write and execute scripts on the host or remote servers, enabling RCE on the Dokploy host or a target server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS