Dokploy Sicherheitswelle: Drei neue kritische RCE- und Command-Injection-Schwachstellen
dokploy security vulnerability-topic self-hosting open-source
trending_up Trend: dokploy

Dokploy Sicherheitswelle: Drei neue kritische RCE- und Command-Injection-Schwachstellen

calendar_month 9. Juni 2026 update Aktualisiert: 11. Juni 2026

🔄 Update — 11. Juni 2026: Kritische CVSS 10/10 Sicherheitslücke durch Hardcoded Secret (CVE-2026-45631) entdeckt

In Dokploy wurde eine weitere, extrem kritische Sicherheitslücke (CVE-2026-45631) mit einem CVSS-Score von 10.0 in den Versionen 0.27.0 bis 0.29.2 gefunden. Ein fest im Code hinterlegtes Authentifizierungs-Secret ermöglicht es nicht-authentifizierten Angreifern, administrative JWT-Token zu fälschen und die vollständige Kontrolle über den Host-Server zu erlangen. Die Entwickler haben die gepatchte Version 0.29.3 bereitgestellt.

Was ist neu?

  • CVE-2026-45631 (CVSS 10.0): Ein hardcodiertes Authentifizierungs-Secret (better-auth-secret-123456789) ermöglichte die vollständige Umgehung aller Zugriffssteuerungen.
  • WebSocket-RCE (CVE-2026-45629): Eine RCE-Schwachstelle im WebSocket-Endpunkt für Deployments wurde ebenfalls behoben.
  • Sofort-Patch 0.29.3: Die neue Version 0.29.3 ersetzt das hardcodierte Secret und sichert die betroffenen API-Schnittstellen ab.

Warum es den Artikel ergänzt

Dieses Update verschärft die Sicherheitslage von Dokploy drastisch, da nun auch nicht-authentifizierte Angreifer ohne Vorkenntnisse Instanzen komplett übernehmen können.

Zusammenfassung

In der Open-Source-PaaS-Plattform Dokploy wurden drei kritische Sicherheitslücken entdeckt, die Remote Code Execution (RCE) und OS-Command-Injection ermöglichen. Die Schwachstellen betreffen die Command-Execution-Prozesse, den Schedule-Router sowie das Traefik-Konfigurations-Endpoint. Authentifizierte Angreifer können diese umgehen, um unbefugt Shell-Skripte auf den Host- oder verwalteten Ziel-Servern auszuführen. Die Entwickler haben Sicherheitsupdates bereitgestellt, um die Lücken zu schließen.

Was ist passiert?

In den letzten Tagen wurden Details zu drei kritischen Schwachstellen in Dokploy bekannt gegeben:

  • CVE-2026-45632 (CVSS 9.9): Ein Autorisierungsfehler im Schedule-Router von Dokploy (Versionen 0.26.7 und älter). Authentifizierte Benutzer können ohne Rechteprüfung Zeitpläne erstellen oder manipulieren und darüber Shell-Skripte auf dem Dokploy-Host oder remote verwalteten Servern ausführen.
  • CVE-2026-45628 (CVSS 9.9): Eine Command-Injection-Schwachstelle in Dokploy (Versionen 0.29.2 und älter). Dokploy konstruiert Shell-Befehle mittels JavaScript-Template-Literalen und führt diese unsicher über child_process.exec() aus. Unbereinigte Benutzereingaben bei Branch-Namen, Git-Repository-URLs oder Docker-Registrierungsdaten führen direkt zur Befehlsausführung.
  • CVE-2026-45630 (CVSS 9.0): Eine Command-Injection in der Traefik-Konfiguration (application.updateTraefikConfig in Versionen 0.28.8 und älter). Administratoren oder privilegierte Konten können Shell-Metazeichen in eine unsichere echo-Befehlskette einschleusen und RCE erzielen.

Warum es wichtig ist

Dokploy wird häufig als leichtgewichtige, selbstgehostete Alternative zu Heroku oder Vercel eingesetzt. Da der Dokploy-Backend-Prozess standardmäßig Zugriff auf den Docker-Socket hat, bedeutet ein RCE auf der Verwaltungsebene eine vollständige Kompromittierung aller darauf gehosteten Anwendungen und Datenbanken (Multi-Tenant-Bruch). Ein Angreifer kann sensible Umgebungsvariablen stehlen, Container manipulieren oder auf andere Kundenumgebungen übergreifen.

Beweise

  • Sicherheitsberichte: Veröffentlicht in der SentinelOne Vulnerability Database und den Yutori Scouts Security Advisories.
  • Offizielle Dokumente: Die GitHub Security Advisories GHSA-7wmr-57mg-h5q6 (für CVE-2026-45632), GHSA-3frc-cfh9-ch2c (für CVE-2026-45628) und GHSA-p787-6gqg-cvp5 (für CVE-2026-45630) belegen die technischen Hintergründe und Patch-Commits.

Analyse

Die entdeckten Schwachstellen verdeutlichen klassische Implementierungsfehler im modernen Web-Development. Durch den Einsatz von String-Interpolation bei der Generierung von CLI-Befehlen anstelle von parametrisierten Ausführungen (z. B. spawn mit Argumenten-Arrays) wird eine massive Angriffsfläche geschaffen. Zudem zeigt das Fehlen von feinkörnigen Rollenprüfungen (Insecure Direct Object Reference) beim Schedule-Router, dass Autorisierungsmechanismen auf API-Ebene lückenhaft waren.

Praktische Erkenntnisse

Betreiber von Dokploy-Instanzen sollten sofort folgende Maßnahmen ergreifen:

  1. Dokploy aktualisieren: Führen Sie umgehend ein Update auf die neueste Version durch (nach Version 0.29.2).
  2. Zugriff einschränken: Stellen Sie die Admin-Benutzeroberfläche hinter ein VPN oder eine Firewall und erlauben Sie nur vertrauenswürdigen IP-Adressen den Zugriff.
  3. MFA aktivieren & Registrierung schließen: Deaktivieren Sie die Registrierungsfunktion für neue Benutzer (Self-Registration), um die Angriffsfläche für authentifizierte API-Zugriffe zu minimieren.
  4. Schlüssel rotieren: Da ein RCE stattgefunden haben könnte, sollten alle SSH-Schlüssel, Docker-Registry-Passwörter und API-Keys der verwalteten Server vorsorglich rotiert werden.

Offene Fragen

  • Gibt es bereits aktive Angriffsversuche in freier Wildbahn, die diese Sicherheitslücken ausnutzen?
  • Wie viele öffentlich erreichbare Dokploy-Instanzen sind derzeit ungeschützt und direkt angreifbar?

Quellen

  1. SentinelOne: CVE-2026-45632: Dokploy Schedule Router RCE Vulnerability
  2. SentinelOne: CVE-2026-45628: Dokploy Command Injection RCE Vulnerability
  3. SentinelOne: CVE-2026-45630: Dokploy Command Injection Vulnerability
  4. Scouts by Yutori: Security and compliance breaking updates