CVE-2026-39848
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Aplikacja Dockyard przed wersją 1.1.0 nie posiada ochrony CSRF dla operacji uruchamiania i zatrzymywania kontenerów Docker. Atakujący może zmusić przeglądarkę zalogowanego administratora do wykonania żądań GET, co pozwoli na nieautoryzowane zarządzanie kontenerami.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego zatrzymania lub uruchomienia kontenerów przez atakującego bez wiedzy administratora, co może prowadzić do przerwania działania usług lub nieautoryzowanego dostępu do zasobów.
Rekomendacja
Należy niezwłocznie zaktualizować aplikację Dockyard do wersji 1.1.0 lub nowszej, która zawiera poprawkę eliminującą brak ochrony CSRF.
Oryginalny opis (angielski, źródło NVD)
Dockyard is a Docker container management app. Prior to 1.1.0, Docker container start and stop operations are performed through GET requests without CSRF protection. A remote attacker can cause a logged-in administrator's browser to request /apps/action.php?action=stop&name=<container> or /apps/action.php?action=start&name=<container>, which starts or stops the target container. This vulnerability is fixed in 1.1.0.

