CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-45631

CriticalCVSS 10.0
Published: Updated: Translated: NVD NIST

Summary

Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach od 0.27.0 do przed 0.29.3, twardo zakodowany fallback BETTER_AUTH_SECRET ('better-auth-secret-123456789') umożliwia nieautoryzowanemu atakującemu fałszowanie JWT do weryfikacji e-mail, wywoływanie automatycznego logowania jako administrator oraz wykonywanie poleceń na hoście za pomocą wbudowanego terminala SSH.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie dostępu do konta administratora oraz pełną kontrolę nad systemem. Może to prowadzić do nieautoryzowanych działań i potencjalnych strat danych.

Recommendation

Zaleca się aktualizację do wersji 0.29.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa systemu w celu zidentyfikowania i zminimalizowania innych potencjalnych zagrożeń.

Original NVD description (English source)

Dokploy is a free, self-hostable Platform as a Service (PaaS). From 0.27.0 to before 0.29.3, a hardcoded BETTER_AUTH_SECRET fallback ("better-auth-secret-123456789") lets an unauthenticated attacker forge email verification JWTs, trigger auto-sign-in as admin, and execute commands on the host via the built-in SSH terminal. This vulnerability is fixed in 0.29.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS