DokkuにおけるEval インジェクションに関する脆弱性
| Title |
DokkuにおけるEval インジェクションに関する脆弱性
|
| Summary |
Dokku は Docker を利用した PaaS です。バージョン 0.38.2 より前の openresty-vhosts プラグインは、アプリの openresty/http-includes/ Git リポジトリディレクトリからファイルをホストにコピーし、その後ファイル名をエスケープせずに単一引用符で囲まれたシェル文字列に挿入します。その文字列は後で eval によって解析されます。ファイル名に単一引用符が含まれていると引用符が壊れ、コマンド置換が可能となり、次回のアプリのデプロイ時に dokku ユーザーとしてホスト上で任意のコマンドが実行されてしまいます。この脆弱性はバージョン 0.38.2 で修正されています。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 26, 2026, midnight |
| Registration Date |
June 29, 2026, 11:24 a.m. |
| Last Update |
June 29, 2026, 11:24 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月29日]
掲載 |
June 29, 2026, 11:24 a.m. |
NVD Vulnerability Information
CVE-2026-45406
| Summary |
Dokku is a docker-powered PaaS. Prior to 0.38.2, the openresty-vhosts plugin copies files from an app's openresty/http-includes/ git repository directory to the host and then interpolates their filenames, unescaped, into a single-quoted shell string that is later parsed by eval. A filename containing a single quote breaks the quoting and allows command substitution to execute arbitrary commands on the host as the dokku user during the app's next deploy. This vulnerability is fixed in 0.38.2.
|
| Publication Date |
June 27, 2026, 2:16 a.m. |
| Registration Date |
June 27, 2026, 4:35 a.m. |
| Last Update |
June 27, 2026, 4:01 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:dokku:dokku:*:*:*:*:-:*:*:* |
|
|
|
0.38.2 |
Related information, measures and tools
Common Vulnerabilities List