anchore_overrides,nvd
Dokploy
Уязвимости
18
Эксплуатируемые
0
Критический
11
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2026-45631Dokploy - это бесплатная, самостоятельный Платформа как услуга (PaaS). С 0.27.0 до 0.29.3, жесткий зад Code BETTER_AUTH_SECRET (Better-auth-seret-123456789) позволяет неаутентифицированному злоумышленнику создавать JWT проверки электронной почты, запускать автоматический вход в качестве администратора и выполнять команды на хосте через встроенный терминал SSH. Эта уязвимость фиксируется в 0.29.3.
CVE-2026-45663Dokploy - это бесплатная, самостоятельный платформа как услуга (PaaS). В 0.29.1 и ранее в функции загрузки файла Docker существует уязвимость инъекций команд. Когда аутентифицированный пользователь загружает файл в контейнер, параметр destinationPath не дезинфицируется должным образом и непосредственно интерполируется в командную строку оболочки. Включая метахарактеры оболочки, такие как ; или «, злоумышленник может избежать предполагаемой команды docker cp и выполнить произвольные команды ОС на хосте Dokploy.
CVE-2026-45661Dokploy - это бесплатная, самостоятельный платформа как услуга (PaaS). В 0.26.5 и ранее в Dokploy v0.26.5 существует критическая уязвимость прохождения пути, которая позволяет аутентифицированным пользователям записывать произвольные файлы в файловую систему во время развертывания приложения. В сочетании с функцией удаленного развертывания сервера Dokploy эта уязвимость позволяет произвольно записывать файлы в удаленные серверные файловые системы, автоматическое удаленное выполнение кода с помощью задач cron, полный компрометацию сервера, эксфильтрацию данных без взаимодействия с пользователем и постоянную установку бэкдоров. Эта уязвимость обходит всю изоляцию контейнеров на удаленных серверах.
CVE-2026-45633Dokploy - это бесплатная, самостоятельный Платформа как услуга (PaaS). В 0.26.6 и ранее Dokploy содержит уязвимость командного инъекционного ввода в конечную точку WebSocket /docker-container-logs. Крутой и поскольку параметры не валидируются и непосредственно конкатенируются в команды оболочки, что позволяет аутентифицированным пользователям выполнять произвольные команды с привилегиями корня.
CVE-2026-45632Dokploy - это бесплатная, самостоятельный Платформа как услуга (PaaS). В 0.26.7 и ранее маршрутизатор расписания не обеспечивает проверку организации/ролевой. В результате любой аутентифицированный пользователь может создавать, обновлять, запускать или удалять расписания, принадлежащие другим организациям, если они знают расписание/сервер. Типы расписания сервера и dokploy-server пишите и выполняют скрипты на хостинге или удаленных серверах, что позволяет RCE на хосте Dokploy или целевом сервере.
CVE-2026-45629Dokploy - это бесплатная, самостоящая платформа как услуга (PaaS). В 0.28.8 и ранее аутентифицированный ввод команды ОС в конечную точку WebSocket позволяет любому члену организации выполнять произвольные системные команды на удаленных серверах, управляемых Dokploy, что приводит к полному компрометации сервера.
CVE-2026-27130Dokploy - это бесплатная, самостоятельный Платформа как услуга (PaaS). Версии 0.26.6 и ниже имеют впрыск команды ОС через параметр appName. 3 цепных проблемы вызывают эту проблему: неадекватная дезинфекционная работа, отсутствие валидации схемы и прямая интерполяция оболочки. Имена приложений, контролируемые пользователем, передаются через неадекватную санацию (функция creanAppName только заменяет пробелы и преобразует в нижнюю часть), прежде чем их интерполируют непосредственно в команды оболочки, выполняемые через execasync() и execasyncRemote(). Аутентифицированный злоумышленник может вводить метахарактеры оболочки (например, ;, $(), обратные фики, |, &) в поле appName во время создания приложения, которые затем выполняются с привилегиями на уровне сервера при запуске операций обслуживания (запуск, остановка, удаление, масштаб). Этот вопрос решен в версии 0.26.7.
CVE-2026-24841Dokploy - это бесплатная, самостоящая платформа как услуга (PaaS). В версиях до 0.26.6 в конце Dokploy WebSocket's WebSocket's WebSocket уязвимости критической команды "/докер-кондиционер". Параметры «контейнер» и «активныйWay`» непосредственно интерполируются в команды оболочки без санации, что позволяет аутентифицированным злоумышленникам выполнять произвольные команды на сервере хостов. Версия 0.26.6 исправляет проблему.
CVE-2025-53825В платформе Dokploy, бесплатной и самохостируемой PaaS, обнаружена уязвимость, позволяющая неаутентифицированным пользователям выполнять произвольный код и получать доступ к конфиденциальным переменным окружения путем открытия запроса на слияние в публичном репозитории. Эта уязвимость делает все публичные экземпляры Dokploy, использующие предварительные развертывания, уязвимыми для выполнения произвольного кода и раскрытия секретов. Проблема исправлена в версии 0.24.3. Источники: [1] https://github.com/Dokploy/dokploy/security/advisories/GHSA-h67g-mpq5-6ph5
- [2] https://github.com/Dokploy/dokploy/commit/1977235d313824b9764f1a06785fb7f73ab7eba2
Источники:
- [1] https://github.com/Dokploy/dokploy/security/advisories/GHSA-h67g-mpq5-6ph5
- [2] https://github.com/Dokploy/dokploy/commit/1977235d313824b9764f1a06785fb7f73ab7eba2
CVE-2026-45628Dokploy - это бесплатная, самостоятельный платформа как услуга (PaaS). В 0.29.2 и ранее Dokploy создает команды оболочки с использованием буквенных шаблонов JavaScript и выполняет их через child_process.exec() (который проходит через /bin/sh -c). Пользовательские имена веток, URL-адреса репозиторий и учетные данные Docker интерполируются непосредственно в эти команды, не убегая. Это требует аутентифицированного пользователя с привилегиями создания/редактирования приложений.
CVE-2026-45630Dokploy - это бесплатная, самостоящая платформа как услуга (PaaS). В 0.28.8 и ранее аутентифицированный ввод команд ОС в конечную точку application.updateTraefikConfig tRPC позволяет администраторам/пользователям выполнять произвольные системные команды на удаленных серверах с помощью дезинфицированной интерполяции эхо-оболочки.
CVE-2026-45662Dokploy - это бесплатная, самостоятельный платформа как услуга (PaaS). В 0.29.0 и ранее функция удаленияРегистр в Dokploy (пакеты/серфер/src/services/registry.ts) выполняет docker logout ${response.regstryUrl} без побега снаряда. В том же файле команда docker login правильно использует shEscape() для предотвращения командной инъекции. Эта несоответствие создает уязвимость командного инъекционного введения при удалении реестра с помощью созданного реестраUrl.
CVE-2026-24840Dokploy - это бесплатная, самостоящая платформа как услуга (PaaS). В версиях до 0.26.6, жестко закодированная учетная запись в предоставленном скрипте установки (находится по адресу https://dokploy.com/install.sh, строка 154) использует жесткий пароль при создании контейнера базы данных. Это означает, что почти все установки Dokploy используют одни и те же учетные данные и могут быть скомпрометированы. Версия 0.26.6 содержит патч для выпуска.
CVE-2025-53376В Dokploy, самохостируемой платформе как услуга (PaaS), упрощающей развертывание и управление приложениями и базами данных, аутентифицированный пользователь с низкими привилегиями может выполнять произвольные команды ОС на хосте Dokploy. Процедура tRPC docker.getContainersByAppNameMatch подставляет значение appName, предоставленное злоумышленником, в вызов Docker CLI без санитаризации, что позволяет выполнить инъекцию команды под учетной записью службы Dokploy [1].
Рекомендуется обновить Dokploy до версии 0.23.7 или выше.
Источники:
- [1] https://github.com/Dokploy/dokploy/security/advisories/GHSA-m486-7pmj-8cmv
- [2] https://github.com/Dokploy/dokploy/commit/fb5d2bd5b67322f1468e5e4d0d5abcf97517761c
CVE-2026-24839Dokploy - это бесплатная, самостоятельская платформа как услуга (PaaS). В версиях до 0.26.6 веб-интерфейс Dokploy уязвим для атак Clickjacking из-за отсутствия заголовков, разрушающих кадры. Это позволяет злоумышленникам встраивать страницы Dokploy в вредоносные iframes и обманывать аутентифицированных пользователей при выполнении непреднамеренных действий. Версия 0.26.6 исправляет проблему.
CVE-2026-43917Dokploy - это бесплатная, самостоятельная платформа как услуга (PaaS). В 0.19.0 и ранее промежуточный программный обеспечение защищенного Процестепи проверяет подлинность пользователя только - оно НЕ обеспечивает сканирование организации. Каждая конечная точка должна индивидуально проверять, соответствует активной организации сеанса. Это влияет на следующие конечные точки: allByType, killProcess и удалениеDeployment in развертывания.ts; удаление в rollbacks.ts; создание, один, обновление, удаление, manualBackupPostgres, MySql, Mariadb, Mongo, Compose, WebServer и listBackupFiles в backup.ts; список, один, удалить, обновить, запуститьРаботник, добавьте Работника и дополните Менеджер в cluster.ts; и создайте в mount.ts.
CVE-2025-53375(translation not provided in the original response, but it should be included here following the same structure as the other vulnerabilities)
Источники:
- [1] https://github.com/Dokploy/dokploy/security/advisories/GHSA-vq94-qm94-mxp6
- [2] https://github.com/Dokploy/dokploy/commit/e42f6bc61050cd438726921fced64477cbf8f8e6
CVE-2025-53374Dokploy - это самодостаточная платформа как услуга (PaaS), упрощающая развертывание и управление приложениями и базами данных. Аутентифицированный пользователь с низкими привилегиями может получить подробную информацию о профиле другого пользователя в той же организации, напрямую вызывая user.one. Ответ содержит лично идентифицируемую информацию (PII), такую как адрес электронной почты, роль, статус двухфакторной аутентификации, идентификатор организации и различные флаги учетной записи. Исправление будет доступно в версии v0.23.7 [1].
Источники:
- [1] https://github.com/Dokploy/dokploy/security/advisories/GHSA-fcq8-wv2q-f758
- [2] https://github.com/Dokploy/dokploy/commit/61cf426615a4aa095b150362526aa52f2d1ea115