Kritische Sicherheitslücken in Dokploy: Update auf 0.29.3 dringend erforderlich
securityself-hostingvulnerabilitydokploypaas
trending_upTrend: security

Kritische Sicherheitslücken in Dokploy: Update auf 0.29.3 dringend erforderlich

calendar_month 1. Juni 2026 update Aktualisiert: 1. Juni 2026

Zusammenfassung

Dokploy, eine beliebte selbsthostbare Platform-as-a-Service (PaaS)-Lösung, sieht sich mit einer Reihe kritischer Sicherheitslücken konfrontiert. Die Schwachstellen CVE-2026-45630 und CVE-2026-45631 ermöglichen Angreifern die vollständige Übernahme von Instanzen sowie die Ausführung von beliebigem Code. Ein sofortiges Update auf Version 0.29.3 oder höher wird dringend empfohlen.

Was ist passiert?

In den letzten 24 Stunden wurden mehrere kritische CVEs für Dokploy veröffentlicht. Besonders besorgniserregend sind:

  • CVE-2026-45631: Ermöglicht eine Admin-Übernahme ohne vorherige Authentifizierung (Pre-Auth Admin Takeover).
  • CVE-2026-45630: Erlaubt authentifizierten Benutzern die Ausführung von Code auf dem Remote-Server (Authenticated RCE).
  • Die Schwachstellen betreffen Versionen vor 0.29.3. Der Entwickler hat bereits Patches bereitgestellt.

Warum es wichtig ist

Dokploy wird häufig von Entwicklern und in der Self-Hosting-Community eingesetzt, um Anwendungen effizient zu verwalten. Da Dokploy direkten Zugriff auf Docker-Sockets und Server-Ressourcen hat, bedeutet eine Kompromittierung der Dokploy-Instanz in der Regel die vollständige Kontrolle über den zugrunde liegenden Server. Ein Pre-Auth-Exploit macht jede öffentlich erreichbare Instanz sofort angreifbar.

Beweise

Die Sicherheitslücken wurden in offiziellen Advisories und CVE-Datenbanken dokumentiert. Auf GitHub wurden bereits Security Advisories veröffentlicht, die die technischen Details der Schwachstellen beschreiben. Sicherheitstools wie Mondoo haben die Schwere der Lücken bereits als “KRITISCH” eingestuft.

Analyse

Die Häufung kritischer Lücken deutet auf eine intensive Sicherheitsüberprüfung der 0.29.x-Branch hin. Die Kombination aus Pre-Auth Admin Takeover und RCE ist das Worst-Case-Szenario für jede PaaS-Lösung. Es unterstreicht die Notwendigkeit für Self-Hoster, ihre Infrastruktur-Tools hinter VPNs oder Access-Proxies (wie Cloudflare Access oder Tailscale) zu sichern, anstatt sie direkt dem Internet auszusetzen.

Praktische Erkenntnisse

  • Sofortiges Update: Aktualisieren Sie Ihre Dokploy-Instanz umgehend auf Version 0.29.3.
  • Zugriff einschränken: Stellen Sie sicher, dass das Dokploy-Dashboard nicht öffentlich erreichbar ist. Nutzen Sie VPNs oder IP-Whitelists.
  • Logs prüfen: Untersuchen Sie Ihre Server-Logs auf ungewöhnliche Aktivitäten oder unbefugte Admin-Logins in den letzten Tagen.

Offene Fragen

  • Wie viele Instanzen wurden bereits kompromittiert, bevor die Patches verfügbar waren?
  • Gibt es weitere unentdeckte Schwachstellen in der aktuellen Branch, die durch das gestiegene Interesse von Sicherheitsforschern (und Angreifern) bald zutage treten könnten?

Quellen

  1. CVE-2026-45630: Authenticated RCE in Dokploy
  2. CVE-2026-45631: Pre-Auth Admin Takeover
  3. Dokploy Security Advisories on GitHub
  4. Mondoo Vulnerability Intelligence