CVE-2026-54636: Критична вразливість у Dokku дозволяє виконувати команди на хості

Критична вразливість у Dokku до 0.38.7 дозволяє виконувати довільні команди на хості через cron-команди в app.json. Оновіть до 0.38.7 для захисту.
CVE-2026-54636CVSS 9.0Containers

CVE-2026-54636: Критична вразливість у Dokku дозволяє виконувати команди на хості

Критична вразливість у Dokku до 0.38.7 дозволяє виконувати довільні команди на хості через cron-команди в app.json. Оновіть до 0.38.7 для захисту.

CVSS
9.0 CRITICAL
EPSS
19.2%
Активно використовується
немає в KEV
Продукт
dokku

Що відомо

У Dokku до версії 0.38.7 плагін cron у файлі app.json дозволяв використовувати спеціальні символи оболонки, що могло призвести до виходу з контейнера Docker і виконання команд на хості від імені користувача Dokku. Ця вразливість має високий рівень критичності (CVSS 9.0) і була виправлена у версії 0.38.7.

Бізнес-вплив

Вразливість дозволяє зловмиснику, який має можливість змінювати cron-команди у файлі app.json, виконувати довільні команди на хості, що може призвести до компрометації системи, порушення цілісності даних та доступу до конфіденційної інформації. Для організацій, які використовують Dokku як платформу для розгортання контейнерів, це створює серйозні ризики безпеки інфраструктури.

Рекомендовані дії адміністратора

Адміністраторам рекомендується оновити Dokku до версії 0.38.7 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити можливість редагування файлу app.json та перевірити наявність підозрілих cron-команд. Рекомендується також провести аудит логів та обмежити права користувача Dokku для мінімізації ризиків.

Джерела