CVE-2026-27130Dokploy是一款免费的自托管PaaS平台。在0.26.6及以下版本中,由于应用程序名称参数缺乏严格的输入清理和模式验证,导致存在操作系统命令注入漏洞。攻击者可通过在创建应用时注入恶意Shell元字符,利用服务器级权限执行任意命令,从而完全控制服务器。
该漏洞源于Dokploy在处理用户输入的应用名称时存在安全缺陷。具体而言,`cleanAppName`函数仅替换空格并转换为小写,未能过滤Shell元字符(如`;`, `$()`, 反引号, `|`, `&`)。这些未经充分净化的用户输入被直接插值到通过`execAsync()`和`execAsyncRemote()`执行的Shell命令中。当已认证的攻击者在创建应用时将恶意载荷注入`appName`字段,并触发服务操作(如启动、停止、删除或扩容)时,这些恶意命令将以服务器级别的权限被执行。这允许攻击者在目标服务器上执行任意系统命令,可能导致敏感数据泄露、系统被破坏或完全沦陷。