CVE-2026-45298
WysokieStreszczenie
Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 10.5.2, w domyślnej konfiguracji, endpoint POST /api/notifications/test-webhook był dostępny bez uwierzytelnienia, co pozwalało atakującemu na przesyłanie kontrolowanego przez niego adresu URL do WebhookDispatcher, który wysyłał żądanie HTTP POST do podanego adresu.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do ujawnienia informacji, takich jak nagłówki odpowiedzi i status kodu, co może być wykorzystane do dalszych ataków na system. Organizacje mogą być narażone na nieautoryzowany dostęp do danych i potencjalne wycieki informacji.
Rekomendacja
Zaleca się aktualizację Dozzle do wersji 10.5.2 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, warto skonfigurować odpowiednie mechanizmy uwierzytelniania dla wszystkich dostępnych endpointów.
Oryginalny opis (angielski, źródło NVD)
Dozzle is a realtime log viewer for docker containers. Prior to 10.5.2, in a default dozzle deploy (the documented quickstart, no DOZZLE_AUTH_PROVIDER set), POST /api/notifications/test-webhook is reachable without authentication and forwards an attacker-controlled URL into a WebhookDispatcher that sends an HTTP POST to the supplied URL with attacker-controlled request headers, and returns the response status code AND up to 1MB of the response body to the caller, when the target replies non-2xx. This vulnerability is fixed in 10.5.2.

