Krytyczna luka w dokku umożliwiająca wykonanie poleceń poza kontenerem

Dokku przed 0.38.7 pozwala na wykonanie poleceń poza kontenerem przez wtyczkę cron. Zalecana aktualizacja do wersji 0.38.7.
CVE-2026-54636CVSS 9.0Containers

Krytyczna luka w dokku umożliwiająca wykonanie poleceń poza kontenerem

Dokku przed 0.38.7 pozwala na wykonanie poleceń poza kontenerem przez wtyczkę cron. Zalecana aktualizacja do wersji 0.38.7.

CVSS
9.0 CRITICAL
EPSS
19.2%
Aktywnie wykorzystywana
brak w KEV
Produkt
dokku

Co wiadomo

W dokku przed wersją 0.38.7 wtyczka cron pozwala na wykorzystanie poleceń w pliku app.json do zarządzania zadaniami cron działającymi jako użytkownik Dokku. Specjalne znaki powłoki w poleceniu cron mogą umożliwić ucieczkę z kontenera Docker i wykonanie poleceń na hoście z uprawnieniami użytkownika Dokku.

Wpływ biznesowy

Ta luka bezpieczeństwa o wysokim poziomie krytyczności (CVSS 9.0) może pozwolić atakującemu na wykonanie dowolnych poleceń na hoście, co zagraża integralności i bezpieczeństwu infrastruktury kontenerowej. Operatorzy środowisk wykorzystujących dokku powinni pilnie zweryfikować wersję oprogramowania i podjąć działania zapobiegawcze, aby uniknąć potencjalnych naruszeń bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację dokku do wersji 0.38.7 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do plików app.json oraz monitoruj logi systemowe pod kątem podejrzanych aktywności. Przeanalizuj konfigurację wtyczki cron i unikaj używania specjalnych znaków powłoki w poleceniach cron.

Źródła