CVE-2026-47174
KrytyczneCVSS 9.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W Duck Site przed wersją 1.0.1 występuje podatność związana z procesem wdrażania, który może zostać uruchomiony przez złośliwy kod w pull request. Atakujący może wykorzystać tę lukę, aby wdrożyć złośliwy obraz Dockera na produkcję bez konieczności scalania kodu.
Ocena ryzyka
Organizacja może być narażona na wdrożenie złośliwego oprogramowania, co może prowadzić do poważnych konsekwencji, takich jak utrata danych lub naruszenie bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Duck Site do wersji 1.0.1 lub nowszej, aby usunąć tę podatność oraz przeglądanie i monitorowanie pull requestów pod kątem potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
In Duck Site before version 1.0.1, the repository has a deploy workflow that runs after the build workflow completes. The build workflow runs on pull requests, while the deploy workflow runs with package-write permissions and deployment secrets. If an attacker can make a pull request build satisfy the deploy workflow’s main branch condition, the deploy job checks out the triggering workflow commit, builds it into a Docker image, pushes it as latest, and triggers Dokploy deployment. This can allow attacker-controlled pull request code to become the deployed production site image without being merged. This issue has been patched in version 1.0.1.

