Katalog CVE

CVE-2026-39848

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

Aplikacja Dockyard przed wersją 1.1.0 nie posiada ochrony CSRF dla operacji uruchamiania i zatrzymywania kontenerów Docker. Atakujący może zmusić przeglądarkę zalogowanego administratora do wykonania żądań GET, co pozwoli na nieautoryzowane zarządzanie kontenerami.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego zatrzymania lub uruchomienia kontenerów przez atakującego bez wiedzy administratora, co może prowadzić do przerwania działania usług lub nieautoryzowanego dostępu do zasobów.

Rekomendacja

Należy niezwłocznie zaktualizować aplikację Dockyard do wersji 1.1.0 lub nowszej, która zawiera poprawkę eliminującą brak ochrony CSRF.

Oryginalny opis (angielski, źródło NVD)

Dockyard is a Docker container management app. Prior to 1.1.0, Docker container start and stop operations are performed through GET requests without CSRF protection. A remote attacker can cause a logged-in administrator's browser to request /apps/action.php?action=stop&name=<container> or /apps/action.php?action=start&name=<container>, which starts or stops the target container. This vulnerability is fixed in 1.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS