Krytyczna luka w dokku umożliwiająca wykonanie poleceń poza kontenerem
Dokku przed 0.38.7 pozwala na wykonanie poleceń poza kontenerem przez wtyczkę cron. Zalecana aktualizacja do wersji 0.38.7.
- CVSS
- 9.0 CRITICAL
- EPSS
- 19.2%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- dokku
Co wiadomo
W dokku przed wersją 0.38.7 wtyczka cron pozwala na wykorzystanie poleceń w pliku app.json do zarządzania zadaniami cron działającymi jako użytkownik Dokku. Specjalne znaki powłoki w poleceniu cron mogą umożliwić ucieczkę z kontenera Docker i wykonanie poleceń na hoście z uprawnieniami użytkownika Dokku.
Wpływ biznesowy
Ta luka bezpieczeństwa o wysokim poziomie krytyczności (CVSS 9.0) może pozwolić atakującemu na wykonanie dowolnych poleceń na hoście, co zagraża integralności i bezpieczeństwu infrastruktury kontenerowej. Operatorzy środowisk wykorzystujących dokku powinni pilnie zweryfikować wersję oprogramowania i podjąć działania zapobiegawcze, aby uniknąć potencjalnych naruszeń bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację dokku do wersji 0.38.7 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do plików app.json oraz monitoruj logi systemowe pod kątem podejrzanych aktywności. Przeanalizuj konfigurację wtyczki cron i unikaj używania specjalnych znaków powłoki w poleceniach cron.