关键信息 漏洞类型: Clickjacking vulnerability 受影响版本: <= 0.26.3 修复版本: 无 严重性: Medium (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N) 描述 Summary The Dokploy web interface is vulnerable to Clickjacking attacks due to missing frame-busting headers. This allows attackers to embed Dokploy pages in malicious iframes and trick authenticated users into performing unintended actions. Details 缺少 头或带有 指令的 在HTTP响应中。 受影响的端口: - Port 80 (TCP HTTP) - Port 3000 (TCP HTTP) - Port 8081 (TCP SSL/HTTP) 影响 修改部署配置 删除应用或服务 修改安全设置 创建或修改用户 PoC 1. 创建包含以下内容的HTML文件: 2. 在攻击者控制的服务器上托管此文件。 3. 诱骗已验证的Dokploy用户访问此页面。 4. 用户的点击将与隐藏的Dokploy界面进行交互。