Katalog CVE

CVE-2026-45630

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach 0.28.8 i wcześniejszych, uwierzytelniona podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym application.updateTraefikConfig tRPC pozwala użytkownikom z uprawnieniami administratora/ właściciela na wykonywanie dowolnych poleceń systemowych na zdalnych serwerach poprzez niesanitarną interpolację polecenia echo.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym z odpowiednimi uprawnieniami wykonanie dowolnych poleceń na serwerze, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Dokploy do wersji nowszej niż 0.28.8 oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych w celu zminimalizowania ryzyka wstrzykiwania poleceń.

Oryginalny opis (angielski, źródło NVD)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.28.8 and earlier, authenticated OS command injection in the application.updateTraefikConfig tRPC endpoint allows admin/owner users to execute arbitrary system commands on remote servers via unsanitized echo shell interpolation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS