Katalog CVE

CVE-2026-45407

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W Dokku przed wersją 0.38.2 polecenie git:auth tworzy plik $DOKKU_ROOT/.netrc za pomocą polecenia touch, które stosuje domyślne uprawnienia 0644. To wcześniejsze utworzenie pliku uniemożliwia wbudowane ustawienie uprawnień 0600 przez narzędzie netrc, pozostawiając dane uwierzytelniające git dostępne do odczytu dla każdego lokalnego użytkownika, który może przeglądać katalog domowy dokku.

Ocena ryzyka

Ryzyko polega na tym, że nieautoryzowani lokalni użytkownicy mogą odczytać dane uwierzytelniające git, co może prowadzić do nieautoryzowanego dostępu do repozytoriów i potencjalnego wycieku wrażliwego kodu źródłowego.

Rekomendacja

Należy natychmiast zaktualizować Dokku do wersji 0.38.2 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Dokku is a docker-powered PaaS. Prior to 0.38.2, the git:auth command creates $DOKKU_ROOT/.netrc using bash's touch command, which applies the default umask of 0644. This pre-creation defeats the netrc binary's built-in 0600 permission setting, leaving git credentials readable by any local user who can traverse the dokku home directory. This vulnerability is fixed in 0.38.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS