Katalog CVE

CVE-2026-24841

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach przed 0.26.6 występuje krytyczna podatność na wstrzyknięcie poleceń w punkcie końcowym WebSocket `/docker-container-terminal`, gdzie parametry `containerId` i `activeWay` są interpolowane bez sanitizacji, co pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń na serwerze hosta.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie pełnej kontroli nad serwerem, co może prowadzić do utraty danych lub kompromitacji systemów.

Rekomendacja

Zaleca się aktualizację do wersji 0.26.6 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In versions prior to 0.26.6, a critical command injection vulnerability exists in Dokploy's WebSocket endpoint `/docker-container-terminal`. The `containerId` and `activeWay` parameters are directly interpolated into shell commands without sanitization, allowing authenticated attackers to execute arbitrary commands on the host server. Version 0.26.6 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS