Katalog CVE

CVE-2026-54636

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność w Dokku przed wersją 0.38.7 pozwala na ucieczkę z kontenera Docker poprzez specjalne znaki powłoki w komendach cron w pliku app.json. Atakujący może wykonać dowolne polecenia na hoście jako użytkownik Dokku.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad hostem przez atakującego, co może prowadzić do naruszenia poufności, integralności i dostępności danych oraz usług.

Rekomendacja

Należy natychmiast zaktualizować Dokku do wersji 0.38.7 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Dokku is a docker-powered PaaS. Prior to 0.38.7, the cron plugin utilizes commands in the app.json file to manage system cron running as the Dokku user. An app.json cron command utilizing special shell characters - including, but not limited to, > or ; - can break out of the Docker container and execute commands on the host as the Dokku user. This vulnerability is fixed in 0.38.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS