CVE-2026-45405
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
26/06/2026
Última modificación:
26/06/2026
Descripción
*** Pendiente de traducción *** Dokku is a docker-powered PaaS. Prior to 0.38.2, the git:from-archive and certs:add commands extract user-supplied tar/zip archives into temporary directories without sanitizing member paths or preventing symlink traversal. GNU tar creates symlinks during extraction and follows them for subsequent entries, allowing an attacker to write arbitrary files anywhere writable by the dokku user — including overwriting ~/.ssh/authorized_keys to gain unrestricted shell access. This vulnerability is fixed in 0.38.2.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dokku:dokku:*:*:*:*:-:*:*:* | 0.38.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



