製品・ソフトウェアに関する情報

JVN脆弱性詳細

Amir RaminfarのDozzleにおける同一生成元ポリシー違反に関する脆弱性

Title	Amir RaminfarのDozzleにおける同一生成元ポリシー違反に関する脆弱性
Summary	DozzleはDockerコンテナのリアルタイムログビューアです。バージョン10.5.2以前では、/execおよび/attachエンドポイントのWebSocketアップグレーダーがCheckOrigin: func(r *http.Request) bool {return true}を使用しており、あらゆるオリジンからのアップグレードリクエストを受け入れていました。これはSameSite: Laxを使用するJWTクッキーと組み合わさることで、クロスサイトWebSocketハイジャック（CSWSH）を可能にしていました。攻撃者は同一サイトオリジン（例：兄弟サブドメインやlocalhost上の別サービス）でホストするページから、被害者の有効なJWTクッキーを伴うexecエンドポイントへのWebSocket接続を開始し、被害者がアクセス権を持つ任意のコンテナで対話型シェルアクセスを得ることができます。この脆弱性はバージョン10.5.2で修正されました。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 26, 2026, midnight
Registration Date	June 3, 2026, 5:01 p.m.
Last Update	June 3, 2026, 5:01 p.m.

CVSS3.0 : 緊急
Score	9.6
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44985	https://www.cve.org/CVERecord?id=CVE-2026-44985
National Vulnerability Database (NVD)
2	CVE-2026-44985	https://nvd.nist.gov/vuln/detail/CVE-2026-44985

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-346	https://cwe.mitre.org/data/definitions/346.html

ベンダー情報

No	Name	URL
GitHub
1	Cross-Site WebSocket Hijacking (CSWSH) on exec/attach endpoints bypasses authentication Advisory amir20/dozzle GitHub	https://github.com/amir20/dozzle/security/advisories/GHSA-j643-x8pv-8m67

その他

No	Name	URL
関連文書
1	Release v10.5.2 amir20/dozzle GitHub	https://github.com/amir20/dozzle/releases/tag/v10.5.2

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 5:01 p.m.

NVD Vulnerability Information

CVE-2026-44985

Summary	Dozzle is a realtime log viewer for docker containers. Prior to 10.5.2, he WebSocket upgrader for the /exec and /attach endpoints uses CheckOrigin: func(r *http.Request) bool { return true }, accepting upgrade requests from any origin. Combined with the JWT cookie using SameSite: Lax, this enables Cross-Site WebSocket Hijacking (CSWSH). An attacker hosting a page on a same-site origin (e.g., a sibling subdomain, or another service on localhost) can initiate a WebSocket connection to the exec endpoint that carries the victim's valid JWT cookie, gaining interactive shell access in any container the victim is authorized to access. This vulnerability is fixed in 10.5.2.
Publication Date	May 27, 2026, 7:16 a.m.
Registration Date	May 28, 2026, 4:09 a.m.
Last Update	May 30, 2026, 4:30 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:amirraminfar:dozzle::::::docker::*					10.5.2

Related information, measures and tools

No	URL	refsource
1	https://github.com/amir20/dozzle/releases/tag/v10.5.2	security-advisories@github.com
2	https://github.com/amir20/dozzle/security/advisories/GHSA-j643-x8pv-8m67	security-advisories@github.com
3	https://github.com/amir20/dozzle/security/advisories/GHSA-j643-x8pv-8m67	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-346	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html