الثغرات ›

CVE-2026-45298

مرتفع ⚡ اختراق متاح

CWE-918 — نوع الضعف

                    نُشر: May 26, 2026                      ·  آخر تحديث: Jun 2, 2026                      ·  المصدر: NVD                

CVSS v3

8.6

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Dozzle is a realtime log viewer for docker containers. Prior to 10.5.2, in a default dozzle deploy (the documented quickstart, no DOZZLE_AUTH_PROVIDER set), POST /api/notifications/test-webhook is reachable without authentication and forwards an attacker-controlled URL into a WebhookDispatcher that sends an HTTP POST to the supplied URL with attacker-controlled request headers, and returns the response status code AND up to 1MB of the response body to the caller, when the target replies non-2xx. This vulnerability is fixed in 10.5.2.

🤖 ملخص AI

Dozzle versions before 10.5.2 allow unauthenticated attackers to perform Server-Side Request Forgery (SSRF) attacks via the /api/notifications/test-webhook endpoint, enabling arbitrary HTTP requests to internal systems. The vulnerability affects default deployments without authentication configured and can leak up to 1MB of response data from targeted services.

📄 الوصف (العربية)

تسمح ثغرة Server-Side Request Forgery في Dozzle بإرسال طلبات HTTP عشوائية إلى عناوين URL يتحكم بها المهاجم من خلال نقطة نهاية غير محمية. يمكن للمهاجمين الوصول إلى الخدمات الداخلية والحصول على بيانات حساسة من الاستجابات. تؤثر الثغرة على النشرات الافتراضية التي لم يتم تكوين مصادقة فيها.

🤖 ملخص تنفيذي (AI)

إصدارات Dozzle السابقة للإصدار 10.5.2 تسمح للمهاجمين غير المصرح لهم بتنفيذ هجمات SSRF عبر نقطة نهاية /api/notifications/test-webhook، مما يتيح طلبات HTTP عشوائية للأنظمة الداخلية. يؤثر الثغرة على النشرات الافتراضية بدون مصادقة مكونة ويمكن أن تسرب ما يصل إلى 1 ميجابايت من بيانات الاستجابة.

🤖 التحليل الذكي آخر تحليل: May 31, 2026 18:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1498 T1570

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Dozzle to version 10.5.2 or later immediately. Implement network-level access controls to restrict outbound connections from Dozzle containers. Enable DOZZLE_AUTH_PROVIDER in production deployments to require authentication. Deploy Dozzle behind a reverse proxy with authentication and rate limiting. Restrict webhook functionality to authenticated users only.

🔧 خطوات المعالجة (العربية)

قم بترقية Dozzle إلى الإصدار 10.5.2 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الاتصالات الصادرة من حاويات Dozzle. فعّل DOZZLE_AUTH_PROVIDER في نشرات الإنتاج لتطلب المصادقة. انشر Dozzle خلف وكيل عكسي مع المصادقة وتحديد المعدل. قيّد وظيفة webhook للمستخدمين المصرح لهم فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.13.1.1 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/amir20/dozzle/releases/tag/v10.5.2

security-advisories@github.com

Product Release Notes

🔗

https://github.com/amir20/dozzle/security/advisories/GHSA-3v9w-6365-9w54

security-advisories@github.com

Exploit Mitigation Vendor Advisory

🔗

https://github.com/amir20/dozzle/security/advisories/GHSA-3v9w-6365-9w54

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Mitigation Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

amirraminfar:dozzle

📊 CVSS Score

8.6

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.6

CWECWE-918

EPSS0.02%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-26

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-918

🏢 توجيهات البائع

🔗 https://github.com/amir20/dozzle/security/advisories... 🔗 https://github.com/amir20/dozzle/security/advisories...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45298

عرّفنا بنفسك

تسجيل الدخول مطلوب