Katalog CVE

CVE-2026-45632

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach 0.26.7 i wcześniejszych, router harmonogramu nie wymusza kontroli organizacji/roli, co pozwala każdemu uwierzytelnionemu użytkownikowi na tworzenie, aktualizowanie, uruchamianie lub usuwanie harmonogramów należących do innych organizacji, jeśli zna scheduleId/serverId.

Ocena ryzyka

Ryzyko dla organizacji polega na tym, że nieautoryzowani użytkownicy mogą manipulować harmonogramami innych organizacji, co może prowadzić do wykonania złośliwego kodu na serwerze Dokploy lub docelowym serwerze.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Dokploy, aby wprowadzić odpowiednie kontrole organizacji/roli w routerze harmonogramu oraz monitorowanie dostępu do harmonogramów.

Oryginalny opis (angielski, źródło NVD)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.26.7 and earlier, the schedule router does not enforce organization/role checks. As a result, any authenticated user can create, update, run, or delete schedules belonging to other organizations if they know the scheduleId/serverId. Schedule types server and dokploy-server write and execute scripts on the host or remote servers, enabling RCE on the Dokploy host or a target server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS