CVE-2026-27130 in dokployinfo

Zusammenfassung

von VulDB • 19.05.2026

Dokploy ist ein kostenloses, selbst gehostbares Platform as a Service (PaaS). Die Versionen 0.26.6 und älter weisen eine OS-Command-Injection über den Parameter appName auf. Drei gekoppelte Schwachstellen verursachen dieses Problem: unzureichende Eingangsvalidierung (Sanitization), fehlende Schema-Validierung und direkte Shell-Interpolation. Vom Benutzer kontrollierte Anwendungsnamen werden vor der direkten Interpolation in Shell-Befehle, die über execAsync() und execAsyncRemote() ausgeführt werden, einer unzureichenden Bereinigung unterzogen (die Funktion cleanAppName ersetzt nur Leerzeichen und konvertiert in Kleinbuchstaben). Ein authentifizierter Angreifer kann Shell-Metazeichen (z. B. ;, $(), Backticks, |, &) im Feld appName während der Anwendungserstellung injizieren, die dann mit Server-Berechtigungen ausgeführt werden, wenn Dienstvorgänge (start, stop, remove, scale) ausgelöst werden. Dieses Problem wurde in Version 0.26.7 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.02.2026

Veröffentlichung

19.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364511

CPE

bereit

EPSS

0.00328

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27130
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27130
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27130/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!