CVE-2026-44985 in dozzleinformação

Sumário

de VulDB • 27/05/2026

O Dozzle é um visualizador de logs em tempo real para contêineres Docker. Antes da versão 10.5.2, o upgrader de WebSocket para os endpoints /exec e /attach utiliza CheckOrigin: func(r *http.Request) bool { return true }, aceitando solicitações de upgrade de qualquer origem. Combinado com o cookie JWT usando SameSite: Lax, isso permite o Cross-Site WebSocket Hijacking (CSWSH). Um atacante que hospede uma página em uma mesma origem (por exemplo, um subdomínio irmão ou outro serviço no localhost) pode iniciar uma conexão WebSocket para o endpoint exec que carrega o cookie JWT válido da vítima, obtendo acesso interativo ao shell em qualquer contêiner ao qual a vítima esteja autorizada a acessar. Esta vulnerabilidade foi corrigida na versão 10.5.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

08/05/2026

Divulgação

27/05/2026

Moderação

aceite

Entrada

VDB-365849

CPE

pronto

EPSS

0.00007

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44985
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44985
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44985/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!