В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярной панели визуального управления для Docker под названием Dpanel. Идентификатор уязвимости - BDU:2026-00159, ей также присвоен идентификатор CVE-2025-30206. Проблема связана с использованием жестко закодированного криптографического ключа, что классифицируется как CWE-321. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику полностью скомпрометировать систему, воздействуя на конфиденциальность, целостность и доступность данных. Уязвимы все версии Dpanel до 1.6.1.
Детали уязвимости
Уровень опасности оценивается как критический по обеим основным шкалам. Базовый балл CVSS 2.0 достигает максимального значения 10.0, а оценка по CVSS 3.1 составляет 9.8. Согласно векторам атаки, уязвимость эксплуатируется удаленно через сеть, не требует аутентификации или взаимодействия с пользователем и приводит к полному захвату контроля над системой. По сути, эта брешь упрощает для атакующих обход механизмов аутентификации.
Основная проблема кроется в фундаментальной ошибке безопасности. Разработчики встроили в код приложения статичный, предсказуемый криптографический ключ. Следовательно, этот ключ идентичен во всех инсталляциях Dpanel по всему миру. Злоумышленник, знающий этот ключ, может генерировать поддельные сессионные токены или расшифровывать служебные данные. Таким образом, он получает несанкционированный доступ к административной панели управления с максимальными привилегиями.
Подобная уязвимость открывает широкие возможности для киберпреступников. Получив доступ, злоумышленник может просматривать, изменять или удалять любые развернутые контейнеры Docker, воровать конфиденциальные данные, включая переменные окружения с паролями и API-ключами. Кроме того, он может установить на сервер вредоносное программное обеспечение для обеспечения постоянного доступа. В частности, атакующий может развернуть шифровальщик, что приведет к полной потере работоспособности инфраструктуры.
Производитель подтвердил наличие уязвимости и оперативно выпустило исправление. Патч уже интегрирован в версию Dpanel 1.6.1. Поэтому главной и безотлагательной мерой для всех пользователей является немедленное обновление программного обеспечения до актуальной версии. Рекомендации по устранению и подробности опубликованы в соответствующем бюллетене безопасности на GitHub.
Отсутствие обновления создает чрезвычайно высокие риски. Учитывая критический уровень угрозы и относительную простоту потенциальной эксплуатации, можно ожидать, что злоумышленники начнут активно сканировать интернет в поисках незащищенных экземпляров Dpanel. Более того, подобные уязвимости часто становятся целью автоматизированных атак и ботнетов. Следовательно, промедление с установкой патча практически гарантирует компрометацию системы.
Для администраторов, которые по каким-либо причинам не могут немедленно обновиться, существует лишь один временный выход - полное отключение панели Dpanel от публичной сети. Необходимо ограничить доступ к интерфейсу управления только с доверенных IP-адресов через VPN или иные средства изоляции. Однако это лишь полумера, которая не устраняет коренную причину проблемы, а лишь усложняет путь для атакующего.
В контексте безопасности DevOps-инструментов данная ситуация служит серьезным напоминанием. Панели управления и инструменты оркестрации, такие как Dpanel, часто обладают высокими привилегиями в инфраструктуре. Соответственно, их защите необходимо уделять первостепенное внимание. Регулярное обновление, принцип минимальных привилегий и аудит исходного кода зависимостей должны быть неотъемлемой частью жизненного цикла разработки и эксплуатации.
В настоящее время наличие публичного эксплойта, использующего уязвимость CVE-2025-30206, уточняется. Тем не менее, учитывая критичность и простоту эксплуатации, появление такого инструмента в ближайшее время весьма вероятно. Поэтому крайне важно применить исправление до того, как атаки приобретут массовый характер. Своевременное обновление остается самым эффективным способом защиты от этой и многих других киберугроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-00159
- https://www.cve.org/CVERecord?id=CVE-2025-30206
- https://github.com/donknap/dpanel/security/advisories/GHSA-j752-cjcj-w847
