Krytyczna luka w dokku umożliwiająca nadpisanie plików przez złośliwe archiwa

Dokku przed 0.38.2 pozwala na zdalne nadpisanie plików przez złośliwe archiwa, co umożliwia przejęcie dostępu SSH. Aktualizuj do 0.38.2.
CVE-2026-45405CVSS 9.0Containers

Krytyczna luka w dokku umożliwiająca nadpisanie plików przez złośliwe archiwa

Dokku przed 0.38.2 pozwala na zdalne nadpisanie plików przez złośliwe archiwa, co umożliwia przejęcie dostępu SSH. Aktualizuj do 0.38.2.

CVSS
9.0 CRITICAL
EPSS
20.69%
Aktywnie wykorzystywana
brak w KEV
Produkt
dokku

Co wiadomo

W dokku przed wersją 0.38.2 polecenia git:from-archive i certs:add nie zabezpieczają poprawnie ścieżek w archiwach tar/zip, co pozwala na wykorzystanie symlinków do zapisu dowolnych plików przez użytkownika dokku. Atakujący może nadpisać m.in. plik ~/.ssh/authorized_keys, uzyskując nieograniczony dostęp do powłoki.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.0 umożliwia atakującemu przejęcie kontroli nad środowiskiem dokku poprzez modyfikację kluczy SSH. Może to prowadzić do pełnego przejęcia serwera, utraty danych i przerw w działaniu usług kontenerowych. Operatorzy powinni traktować tę podatność jako wysokie ryzyko dla bezpieczeństwa infrastruktury.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie dokku do wersji 0.38.2 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do funkcji importu archiwów, monitorować logi pod kątem podejrzanej aktywności oraz zweryfikować integralność plików SSH. Priorytetowo należy przeprowadzić audyt uprawnień użytkownika dokku i wdrożyć dodatkowe zabezpieczenia dostępu.

Źródła