Vulnerabilidad en Dpanel (CVE-2025-30206)

Dpanel es un sistema de panel de visualización de Docker que proporciona funciones completas de gestión de Docker. El servicio Dpanel contiene un secreto JWT codificado en su configuración predeterminada, lo que permite a los atacantes generar tokens JWT válidos y comprometer el equipo host. Esta falla de seguridad permite a los atacantes analizar el código fuente, descubrir el secreto incrustado y crear tokens JWT legítimos. Al falsificar estos tokens, un atacante puede eludir los mecanismos de autenticación, suplantar a usuarios con privilegios y obtener acceso administrativo no autorizado. En consecuencia, esto permite el control total del equipo host, lo que puede conllevar graves consecuencias, como la exposición de datos confidenciales, la ejecución no autorizada de comandos, la escalada de privilegios o un mayor movimiento lateral dentro del entorno de red. Este problema está corregido en la versión 1.6.1. Un workaround para esta vulnerabilidad consiste en reemplazar el secreto codificado con un valor generado de forma segura y cargarlo desde un almacenamiento de configuración seguro.