CRITICAL🇬🇧 English

CVE-2026-45661

Krytyczny path traversal w Dokploy umożliwiający RCE i przejęcie serwera

CVSS 9.9v3.1pub. 2026-05-29upd. 2026-06-02

W Dokploy w wersji 0.26.5 i wcześniejszych istnieje krytyczna podatność typu path traversal, która pozwala uwierzytelnionemu użytkownikowi na zapis dowolnych plików w systemie plików podczas wdrażania aplikacji. W połączeniu z funkcją zdalnego wdrażania podatność umożliwia pełne przejęcie serwera i instalację trwałego backdoora.

Pokaż oryginał (EN)

Dokploy is a free, self-hostable Platform as a Service (PaaS). In 0.26.5 and earlier, a critical path traversal vulnerability exists in Dokploy v0.26.5 that allows authenticated users to write arbitrary files to the filesystem during application deployment. When combined with Dokploy's remote server deployment feature, this vulnerability enables arbitrary file write to remote server filesystems, automatic remote code execution via cron jobs, complete server compromise, data exfiltration without user interaction, and persistent backdoor installation. This vulnerability bypasses all container isolation on remote server deployments.

🤖 Analiza AI
Jak działa

Podatność (CWE-22, CWE-35) polega na braku odpowiedniej walidacji ścieżek plików podczas procesu wdrażania aplikacji, co pozwala atakującemu na wyjście poza dozwolony katalog i zapis plików w dowolnych lokalizacjach systemu plików. Gdy funkcja zdalnego wdrażania jest aktywna, ten sam mechanizm działa na zdalnych serwerach. Atakujący może następnie uzyskać automatyczne wykonanie kodu poprzez zapis złośliwych wpisów do harmonogramu zadań (cron jobs), co nie wymaga żadnej dodatkowej interakcji ze strony ofiary. Podatność całkowicie omija izolację kontenerową stosowaną przy zdalnych wdrożeniach.

Skutki

Uwierzytelniony atakujący może uzyskać pełną kontrolę nad lokalnym oraz zdalnym serwerem, wykraść dane, zainstalować trwały backdoor i wykonać dowolny kod (RCE) — wszystko bez interakcji innych użytkowników.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory GHSA-66v7-g3fh-47h3 na GitHub). Do czasu aktualizacji zaleca się ograniczenie dostępu do panelu Dokploy wyłącznie do zaufanych użytkowników oraz wyłączenie funkcji zdalnego wdrażania na serwerach produkcyjnych.

Kogo dotyczy

Dokploy w wersji 0.26.5 oraz wszystkich wcześniejszych wersjach

Uwagi

Podatność dotyczy samodzielnie hostowanej platformy PaaS (self-hosted). Szczególnie niebezpieczna w środowiskach wielodostępnych, gdzie różni użytkownicy mają dostęp do funkcji wdrażania aplikacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath TraversalContainer
CWE
Referencje