PT-2026-44933 · Dokploy · Dokploy
Xs1Kveroa
·
Publicado
2026-05-29
·
Atualizado
2026-06-02
·
CVE-2026-45629
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
Dokploy versões anteriores a 0.28.9
Description
Dokploy é uma Plataforma como Serviço (PaaS) gratuita e auto-hospedável. Uma injeção de comando de SO autenticada existe no endpoint WebSocket '/listen-deployment', que permite que qualquer membro da organização execute comandos de sistema arbitrários em servidores remotos gerenciados pela plataforma, podendo levar ao comprometimento total do servidor.
Recommendations
Atualize para uma versão posterior a 0.28.8.
Como medida paliativa temporária, restrinja o acesso ao endpoint WebSocket '/listen-deployment' para minimizar o risco de exploração.
Exploit
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dokploy