PT-2026-44934 · Dokploy · Dokploy
Xs1Kveroa
·
Publicado
2026-05-29
·
Atualizado
2026-05-29
·
CVE-2026-45630
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
Dokploy versões anteriores a 0.28.9
Descrição
Dokploy é uma Plataforma como Serviço (PaaS) gratuita e auto-hospedável. Uma injeção de comando de SO existe no endpoint tRPC 'application.updateTraefikConfig', que permite que usuários autenticados com privilégios de administrador ou proprietário executem comandos de sistema arbitrários em servidores remotos. Isso ocorre devido à interpolação de shell echo não sanitizada.
Recomendações
Atualize para uma versão posterior a 0.28.8.
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dokploy