CVE-2026-45632
CriticalCVSS 9.9Summary
Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach 0.26.7 i wcześniejszych, router harmonogramu nie wymusza kontroli organizacji/roli, co pozwala każdemu uwierzytelnionemu użytkownikowi na tworzenie, aktualizowanie, uruchamianie lub usuwanie harmonogramów należących do innych organizacji, jeśli zna scheduleId/serverId.
Risk Assessment
Ryzyko dla organizacji polega na tym, że nieautoryzowani użytkownicy mogą manipulować harmonogramami innych organizacji, co może prowadzić do wykonania złośliwego kodu na serwerze Dokploy lub docelowym serwerze.
Recommendation
Zaleca się aktualizację do najnowszej wersji Dokploy, aby wprowadzić odpowiednie kontrole organizacji/roli w routerze harmonogramu oraz monitorowanie dostępu do harmonogramów.
Original NVD description (English source)
Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.26.7 and earlier, the schedule router does not enforce organization/role checks. As a result, any authenticated user can create, update, run, or delete schedules belonging to other organizations if they know the scheduleId/serverId. Schedule types server and dokploy-server write and execute scripts on the host or remote servers, enabling RCE on the Dokploy host or a target server.

