CVE-2026-58455
Kritisk

CVE-2026-58455: Kritisk sårbarhed i Dockwatch

Kritisk fejl i Dockwatch lader angribere køre kommandoer på din server uden login – opdater straks.

CVSS Score
9.8
Offentliggjort
02/07/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

Dockwatch er et webbaseret værktøj til at overvåge og styre Docker-containere (softwarepakker der kører isoleret på en server). En sårbarhed i version 0.6.567 og ældre betyder, at en angriber udefra kan sende særligt udformede forespørgsler til serveren og få den til at udføre vilkårlige kommandoer – uden at skulle logge ind først.

Fejlen skyldes to problemer kombineret: Et ufuldstændigt tjek af om brugeren er logget ind (manglende exit() i koden), og at brugerinput ikke renses inden det sendes videre til serverens kommandolinje via funktionen shell_exec(). Det svarer til en dør der ser låst ud, men ikke er det.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed bruger Dockwatch i version 0.6.567 eller tidligere til at administrere Docker-containere. Det gælder typisk:

  • Udviklingsvirksomheder og IT-afdelinger der drifter egne servere med Docker.
  • Hostingudbydere eller managed service providers der anvender Dockwatch til kundemiljøer.
  • Enhver organisation hvor Dockwatch-grænsefladen er tilgængelig fra internettet eller et delt netværk.

Er Dockwatch kun tilgængeligt internt og bag stærk adgangskontrol, er risikoen lavere – men ikke elimineret.

Hvad kan ske?

En angriber der udnytter fejlen kan opnå fuld kontrol over den server Dockwatch kører på. Konkret betyder det:

  • Fuld serverovertagelse: Angriberen kan køre hvilke som helst kommandoer på operativsystemet.
  • Adgang til Docker-socket: Dockwatch monterer typisk Docker-socketfilen, hvilket giver angriberen mulighed for at starte, stoppe og manipulere alle Docker-containere på maskinen – inklusive at bryde ud til selve værtsserveren.
  • Datatyveri: Alle filer, databaser og konfigurationer på serveren kan læses og kopieres.
  • Ransomware og sabotage: Angriberen kan kryptere data, slette backups eller installere bagdøre til fremtidig adgang.
  • Angreb på andre systemer: Serveren kan bruges som springbræt til resten af dit netværk.

Hvor alvorligt er det?

Denne sårbarhed har fået den højest mulige CVSS-score på 9.8 ud af 10 (Kritisk). Det afspejler følgende:

  • Netværksangreb uden login: Angrebet kan gennemføres fra internettet uden brugernavn eller adgangskode.
  • Lav kompleksitet: Der kræves ingen særlige forudgående betingelser eller avanceret viden for at udnytte fejlen.
  • Fuldt kompromitteret fortrolighed, integritet og tilgængelighed: Alle tre sikkerhedsprincipper rammes maksimalt.

Kombinationen af ingen autentificeringskrav og fuld serveradgang gør dette til en af de mest alvorlige sårbarhedstyper, der findes.

Hvad gør jeg nu?

Handl hurtigt. Her er hvad du skal gøre nu:

  1. Kortlæg eksponeringen: Find ud af om I bruger Dockwatch, og om det er tilgængeligt fra internettet eller kun internt. Spørg din IT-ansvarlige eller driftsleverandør.
  2. Afskær adgang midlertidigt: Blokér adgang til Dockwatch-grænsefladen fra internettet straks – fx via firewall-regler – indtil en opdatering er installeret.
  3. Opdatér Dockwatch: Installér den nyeste version der retter sårbarheden, så snart den er tilgængelig fra udvikleren. Følg Dockwatch’s officielle kanaler (GitHub) for opdateringer.
  4. Tjek for kompromittering: Gennemgå serverlogfiler for usædvanlig aktivitet, ukendte processer eller mistænkelige netværksforbindelser. Overvej professionel hjælp til dette trin.
  5. Begræns Docker-socket adgang: Overvej om Dockwatch reelt har brug for fuld adgang til Docker-socketfilen, og om adgangen kan begrænses.
  6. Styrk adgangskontrol fremadrettet: Placer administrative værktøjer som Dockwatch bag VPN (krypteret netværkstunnel) eller anden stærk adgangskontrol, så de aldrig er direkte tilgængelige fra internettet.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Auroas klare anbefaling er at blokere al ekstern adgang til Dockwatch øjeblikkeligt og behandle dette som en akut hændelse. Selv hvis I ikke er sikre på om I bruger Dockwatch, bør I verificere det i dag – det tager kun få minutter. Har I mistanke om at serveren allerede er kompromitteret, skal den isoleres fra resten af netværket og undersøges af en specialist, før den tages i brug igen. Kontakt os gerne for hjælp til at vurdere jeres eksponering.

Tidslinje

02/07/2026
CVE offentliggjort i NVD
National Vulnerability Database (NVD) offentliggør CVE-2026-58455 med en kritisk CVSS-score på 9.8. Sårbarheden beskrives i detaljer, herunder de to fejl der tilsammen muliggør angrebet.
02/07/2026
Tekniske detaljer offentligt tilgængelige
Fordi den fulde tekniske beskrivelse – inklusiv de berørte filer og parametre – er offentliggjort i CVE-rapporten, er det realistisk at antage at angribere hurtigt kan konstruere udnyttelseskode (exploit) baseret på disse oplysninger.
02/07/2026
Patch ikke bekræftet tilgængelig
På offentliggørelsestidspunktet er en officiel rettelse fra Dockwatch-udviklerne endnu ikke bekræftet. Virksomheder opfordres til at implementere midlertidige beskyttelsesforanstaltninger med det samme.
09/07/2026
Officiel patch fra Dockwatch
En opdatering der retter CVE-2026-58455 forventes fra udviklerne. Følg Dockwatch's GitHub-repository for meddelelse om en rettet version. Installér opdateringen straks når den frigives.

Konkrete eksempler

Angreb via ubeskyttet webgrænseflade

En angriber scanner internettet for servere der kører Dockwatch og finder en SMV der har grænsefladen åben på port 80. Angriberen sender en POST-forespørgsel til ajax/compose.php med en manipuleret composePath-parameter der indeholder en skjult kommando. Fordi autentificeringschecket i loader.php ikke stopper forespørgslen korrekt, udføres kommandoen på serveren – og angriberen henter alle virksomhedens kundedata.

Overtagelse af hele serverinfrastrukturen via Docker-socket

Efter at have fået adgang via kommandoindsprøjtningen udnytter angriberen at Dockwatch har adgang til Docker-socketfilen. Angriberen starter en ny Docker-container der monterer serverens rodfilsystem, og opretter en ny administratorkonto på selve værtsserveren. Herefter har angriberen permanent og skjult adgang til al infrastruktur – også selv om Dockwatch efterfølgende opdateres eller fjernes.

Ransomware-installation via automatiseret angrebsværktøj

Et automatiseret angrebsprogram scanner kontinuerligt internettet og identificerer sårbare Dockwatch-installationer. Inden for timer efter CVE-offentliggørelsen rammer programmet en virksomheds server, installerer ransomware (afpresningssoftware der krypterer filer) og sletter lokale backups via Docker-containerstyring. Virksomheden modtager et krav om løsepenge for at få sine data tilbage.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78
CWE-698

Original NVD-beskrivelse (engelsk)

Dockwatch through 0.6.567 contains an unauthenticated OS command injection vulnerability that allows remote attackers to execute arbitrary shell commands by exploiting a missing exit() after an authentication redirect in loader.php combined with unsanitized input passed to shell_exec() in ajax/compose.php. Attackers can seed the required session flag through the incomplete auth check, then inject arbitrary commands via the composePath POST parameter in the composePull action to achieve full host compromise, facilitated by the standard deployment mounting of the Docker socket.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-58455
Offentliggjort
02/07/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.