CRITICAL🇬🇧 English

CVE-2026-45631

Dokploy: hardcoded secret umożliwia RCE bez uwierzytelnienia

CVSS 10.0v3.1pub. 2026-05-29upd. 2026-06-01

W platformie Dokploy (wersje 0.27.0 – 0.29.2) wykryto hardcoded sekret uwierzytelniający BETTER_AUTH_SECRET, który pozwala nieuwierzytelnionemu atakującemu na podszywanie się pod administratora i zdalne wykonywanie poleceń na hoście. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

Dokploy is a free, self-hostable Platform as a Service (PaaS). From 0.27.0 to before 0.29.3, a hardcoded BETTER_AUTH_SECRET fallback ("better-auth-secret-123456789") lets an unauthenticated attacker forge email verification JWTs, trigger auto-sign-in as admin, and execute commands on the host via the built-in SSH terminal. This vulnerability is fixed in 0.29.3.

🤖 Analiza AI
Jak działa

Aplikacja zawiera wbudowany, niezmienny fallback sekretu BETTER_AUTH_SECRET o wartości 'better-auth-secret-123456789', używanego do podpisywania tokenów JWT weryfikacji e-mail. Atakujący znający tę wartość może samodzielnie sfałszować poprawny JWT, wywołać mechanizm automatycznego logowania z uprawnieniami administratora, a następnie wykorzystać wbudowany terminal SSH do wykonywania dowolnych poleceń bezpośrednio na serwerze hosta. Cały atak nie wymaga żadnych danych uwierzytelniających ani interakcji ze strony użytkownika.

Skutki

Atakujący uzyskuje pełną kontrolę nad hostem — może wykonywać dowolne polecenia systemowe, odczytywać i modyfikować dane oraz potencjalnie przejąć całą infrastrukturę zarządzaną przez platformę.

Mitygacja

Należy niezwłocznie zaktualizować Dokploy do wersji 0.29.3 lub nowszej, w której podatność została naprawiona. Po aktualizacji zaleca się również unieważnienie wszelkich aktywnych sesji administracyjnych i zresetowanie sekretu BETTER_AUTH_SECRET na unikalną, losową wartość.

Kogo dotyczy

Dokploy w wersjach od 0.27.0 do 0.29.2 (przed 0.29.3) działający w trybie self-hosted.

Uwagi

Podatność zgłoszona i naprawiona przez zespół Dokploy — szczegóły dostępne w oficjalnym security advisory GHSA-w3gm-rc4p-9rhj na GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2026-45631 — Dokploy: hardcoded secret umożliwia RCE bez uwierzytelnienia — CRITICAL 10.0 | CVEbaza.pl