CRITICAL🇬🇧 English

CVE-2025-30206

Dpanel: hardcoded JWT secret umożliwia pominięcie uwierzytelnienia i przejęcie hosta

CVSS 9.8v3.1pub. 2025-04-15upd. 2026-04-15

Dpanel, panel do wizualizacji i zarządzania kontenerami Docker, zawiera w domyślnej konfiguracji zakodowany na stałe sekret JWT. Atakujący może go odkryć analizując kod źródłowy, a następnie sfałszować prawidłowe tokeny JWT i uzyskać pełną kontrolę nad hostem bez żadnych uprawnień.

Pokaż oryginał (EN)

Dpanel is a Docker visualization panel system which provides complete Docker management functions. The Dpanel service contains a hardcoded JWT secret in its default configuration, allowing attackers to generate valid JWT tokens and compromise the host machine. This security flaw allows attackers to analyze the source code, discover the embedded secret, and craft legitimate JWT tokens. By forging these tokens, an attacker can successfully bypass authentication mechanisms, impersonate privileged users, and gain unauthorized administrative access. Consequently, this enables full control over the host machine, potentially leading to severe consequences such as sensitive data exposure, unauthorized command execution, privilege escalation, or further lateral movement within the network environment. This issue is patched in version 1.6.1. A workaround for this vulnerability involves replacing the hardcoded secret with a securely generated value and load it from secure configuration storage.

🤖 Analiza AI
Jak działa

Domyślna konfiguracja Dpanel zawiera hardcoded sekret używany do podpisywania tokenów JWT. Atakujący analizuje kod źródłowy aplikacji (dostępny publicznie), odnajduje osadzony sekret i używa go do generowania własnych, podpisanych poprawnie tokenów JWT. Sfałszowane tokeny są akceptowane przez mechanizm uwierzytelnienia jako legalne, co pozwala na podszywanie się pod uprzywilejowanych użytkowników i uzyskanie nieautoryzowanego dostępu administracyjnego do panelu. Pełen dostęp do panelu Docker przekłada się na kontrolę nad hostem, na którym działa Dpanel.

Skutki

Atakujący może całkowicie pominąć uwierzytelnienie, uzyskać uprawnienia administratora i przejąć pełną kontrolę nad hostem — w tym wykonywać dowolne polecenia, uzyskiwać dostęp do wrażliwych danych, eskalować uprawnienia oraz realizować lateral movement w sieci.

Mitygacja

Należy zaktualizować Dpanel do wersji 1.6.1, w której problem został naprawiony. Jako obejście (workaround) możliwe jest ręczne zastąpienie hardcoded sekretu bezpieczną, losowo wygenerowaną wartością ładowaną z bezpiecznego magazynu konfiguracji.

Kogo dotyczy

Dpanel w wersjach przed 1.6.1 z domyślną konfiguracją zawierającą hardcoded sekret JWT

Uwagi

Podatność dotyczy kombinacji trzech CWE: CWE-321 (użycie hardcoded klucza kryptograficznego), CWE-453 (niezabezpieczona inicjalizacja danych) oraz CWE-547 (użycie stałych wrażliwości związanych z bezpieczeństwem w kodzie). Workaround wymaga ręcznej interwencji w konfigurację — samo wdrożenie obejścia bez aktualizacji do v1.6.1 może nie być wystarczające.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassLPEContainer
CWE
Referencje
CVE-2025-30206 — Dpanel: hardcoded JWT secret umożliwia pominięcie uwierzytelnienia i przejęcie hosta — CRITICAL 9.8 | CVEbaza.pl