Katalog CVE

CVE-2026-45633

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Dokploy w wersjach 0.26.6 i wcześniejszych zawiera podatność na wstrzykiwanie poleceń w punkcie końcowym WebSocket /docker-container-logs. Parametry tail i since nie są walidowane, co pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych poleceń z uprawnieniami roota.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia uwierzytelnionym użytkownikom wykonywanie nieautoryzowanych działań na systemie, co może prowadzić do utraty danych lub przejęcia kontroli nad infrastrukturą.

Rekomendacja

Zaleca się aktualizację Dokploy do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji parametrów w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.26.6 and earlier, Dokploy contains a command injection vulnerability in the /docker-container-logs WebSocket endpoint. The tail and since parameters are not validated and are directly concatenated into shell commands, allowing authenticated users to execute arbitrary commands with root privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS