CVE-2026-43917
MediumCVSS 5.3Exploitation Probability (EPSS)
Low risk13th percentile - higher than 13% of all known CVEs
Summary
Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersji 0.19.0 i wcześniejszych, middleware protectedProcedure jedynie weryfikuje, czy użytkownik jest uwierzytelniony, nie egzekwując ograniczeń organizacyjnych. Każdy punkt końcowy musi indywidualnie weryfikować, czy zasób odpowiada aktywnemu identyfikatorowi organizacji sesji.
Risk Assessment
Brak egzekwowania ograniczeń organizacyjnych może prowadzić do nieautoryzowanego dostępu do zasobów w ramach organizacji, co stwarza poważne ryzyko dla bezpieczeństwa danych i operacji. Użytkownicy mogą uzyskać dostęp do danych, do których nie powinni mieć dostępu.
Recommendation
Zaleca się aktualizację do nowszej wersji Dokploy, która wprowadza odpowiednie ograniczenia organizacyjne. Dodatkowo, każdy punkt końcowy powinien być zaktualizowany, aby weryfikować zgodność organizacyjną z aktywnym identyfikatorem sesji.
Original NVD description (English source)
Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.19.0 and earlier, the protectedProcedure middleware only verifies the user is authenticated - it does NOT enforce organization scoping. Each endpoint must individually verify the resource's org matches the session's activeOrganizationId. This affects the following endpoints: allByType, killProcess, and removeDeployment in deployment.ts; delete in rollbacks.ts; create, one, update, remove, manualBackupPostgres, MySql, Mariadb, Mongo, Compose, WebServer, and listBackupFiles in backup.ts; list, one, delete, update, runManually, and restoreVolumeBackupWithLogs in volume-backups.ts; getNodes, removeWorker, addWorker, and addManager in cluster.ts; and create in mount.ts.

