CVE-2026-45629
KrytyczneCVSS 9.9Streszczenie
Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach 0.28.8 i wcześniejszych, uwierzytelniona injekcja poleceń systemowych w punkcie końcowym WebSocket /listen-deployment pozwala każdemu członkowi organizacji na wykonywanie dowolnych poleceń systemowych na zdalnych serwerach zarządzanych przez Dokploy, co prowadzi do pełnego kompromitacji serwera.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości pełnej kompromitacji serwerów, co może prowadzić do utraty danych, nieautoryzowanego dostępu oraz zakłócenia działania usług.
Rekomendacja
Zaleca się aktualizację Dokploy do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do punktu końcowego WebSocket.
Oryginalny opis (angielski, źródło NVD)
Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.28.8 and earlier, authenticated OS command injection in the /listen-deployment WebSocket endpoint allows any organization member to execute arbitrary system commands on remote servers managed by Dokploy, leading to full server compromise.

