Katalog CVE

CVE-2026-45408

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Podatność w Dokku przed wersją 0.38.2 pozwala na zdalne wykonanie kodu przez uwierzytelnionego użytkownika. Walidacja nazwy aplikacji przepuszcza znaki specjalne powłoki, które są następnie wstawiane bez cytowania do skryptu git hook, co umożliwia wykonanie dowolnych poleceń jako użytkownik dokku.

Ocena ryzyka

Atakujący może przejąć kontrolę nad serwerem Dokku, wykonując dowolne polecenia w kontekście użytkownika dokku, co prowadzi do pełnej kompromitacji platformy i hostowanych aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Dokku do wersji 0.38.2 lub nowszej, która zawiera poprawkę walidacji nazwy aplikacji i bezpieczne użycie heredoc.

Oryginalny opis (angielski, źródło NVD)

Dokku is a docker-powered PaaS. Prior to 0.38.2, the app name validation regex (^[a-z0-9][^/:_A-Z]*$) permits shell metacharacters. When an authenticated user pushes to a git remote with a crafted app name, the name is embedded unquoted into a bash pre-receive hook script via an unquoted heredoc (<<EOF instead of <<'EOF') in fn-git-create-hook() at plugins/git/internal-functions:378. On git push, bash interprets the semicolon as a command separator, executing arbitrary commands as the dokku user. This vulnerability is fixed in 0.38.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS