CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-45633

Critical
Published: Translated: NVD NIST

Summary

Dokploy w wersjach 0.26.6 i wcześniejszych zawiera podatność na wstrzykiwanie poleceń w punkcie końcowym WebSocket /docker-container-logs. Parametry tail i since nie są walidowane, co pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych poleceń z uprawnieniami roota.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia uwierzytelnionym użytkownikom wykonywanie nieautoryzowanych działań na systemie, co może prowadzić do utraty danych lub przejęcia kontroli nad infrastrukturą.

Recommendation

Zaleca się aktualizację Dokploy do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji parametrów w aplikacji.

Original NVD description (English source)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.26.6 and earlier, Dokploy contains a command injection vulnerability in the /docker-container-logs WebSocket endpoint. The tail and since parameters are not validated and are directly concatenated into shell commands, allowing authenticated users to execute arbitrary commands with root privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS