W platformie Dokploy (wersje 0.27.0 – 0.29.2) wykryto hardcoded sekret uwierzytelniający BETTER_AUTH_SECRET, który pozwala nieuwierzytelnionemu atakującemu na podszywanie się pod administratora i zdalne wykonywanie poleceń na hoście. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Dokploy is a free, self-hostable Platform as a Service (PaaS). From 0.27.0 to before 0.29.3, a hardcoded BETTER_AUTH_SECRET fallback ("better-auth-secret-123456789") lets an unauthenticated attacker forge email verification JWTs, trigger auto-sign-in as admin, and execute commands on the host via the built-in SSH terminal. This vulnerability is fixed in 0.29.3.
Aplikacja zawiera wbudowany, niezmienny fallback sekretu BETTER_AUTH_SECRET o wartości 'better-auth-secret-123456789', używanego do podpisywania tokenów JWT weryfikacji e-mail. Atakujący znający tę wartość może samodzielnie sfałszować poprawny JWT, wywołać mechanizm automatycznego logowania z uprawnieniami administratora, a następnie wykorzystać wbudowany terminal SSH do wykonywania dowolnych poleceń bezpośrednio na serwerze hosta. Cały atak nie wymaga żadnych danych uwierzytelniających ani interakcji ze strony użytkownika.
Atakujący uzyskuje pełną kontrolę nad hostem — może wykonywać dowolne polecenia systemowe, odczytywać i modyfikować dane oraz potencjalnie przejąć całą infrastrukturę zarządzaną przez platformę.
Należy niezwłocznie zaktualizować Dokploy do wersji 0.29.3 lub nowszej, w której podatność została naprawiona. Po aktualizacji zaleca się również unieważnienie wszelkich aktywnych sesji administracyjnych i zresetowanie sekretu BETTER_AUTH_SECRET na unikalną, losową wartość.
Dokploy w wersjach od 0.27.0 do 0.29.2 (przed 0.29.3) działający w trybie self-hosted.
Podatność zgłoszona i naprawiona przez zespół Dokploy — szczegóły dostępne w oficjalnym security advisory GHSA-w3gm-rc4p-9rhj na GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H