Plataforma
docker
Componente
runtipi
Corregido en
4.5.1
La vulnerabilidad CVE-2026-25116 es una falla de Path Traversal descubierta en Runtipi, un orquestador de servidores domésticos personales. Esta vulnerabilidad, presente en versiones desde 4.5.0 hasta la 4.7.2, permite a usuarios remotos no autenticados sobrescribir el archivo docker-compose.yml del sistema. La versión 4.7.2 corrige esta vulnerabilidad, mitigando el riesgo de compromiso.
Un atacante que explote esta vulnerabilidad puede reemplazar la configuración principal del stack con una configuración maliciosa. Esto se logra mediante la manipulación del análisis inseguro de URN, permitiendo la sobrescritura del archivo docker-compose.yml. Al reiniciarse la instancia, el operador cargará la configuración maliciosa, lo que resulta en la ejecución remota de código (RCE) y el compromiso del sistema de archivos del host. El impacto es severo, ya que otorga al atacante control sobre el servidor Runtipi y potencialmente acceso a datos sensibles almacenados en él.
Esta vulnerabilidad fue publicada el 29 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni existen públicamente pruebas de explotación activa. La naturaleza de la vulnerabilidad, un Path Traversal que conduce a RCE, sugiere un riesgo potencial si no se mitiga rápidamente, similar a otras vulnerabilidades de este tipo que han sido explotadas en el pasado.
Users running Runtipi in exposed environments, particularly those with limited network segmentation, are at the highest risk. Shared hosting environments where multiple users share the same Runtipi instance are also particularly vulnerable, as an attacker could potentially compromise the entire host.
• docker: Inspect running containers for unexpected processes or configurations.
docker ps --format '{{.Names}} {{.Image}}' | grep -i 'malicious'
docker inspect <container_name> | grep -i 'docker-compose.yml'• linux / server: Monitor system logs for unusual activity related to the Runtipi process.
journalctl -u runtipi -f | grep -i 'error'• generic web: Monitor access logs for requests targeting /user/config with suspicious path traversal patterns (e.g., ../).
• generic web: Check response headers for unexpected content or redirection.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Runtipi a la versión 4.7.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente el archivo docker-compose.yml en busca de modificaciones no autorizadas. Implementar reglas en un firewall de aplicaciones web (WAF) o proxy para bloquear solicitudes que intenten acceder o modificar archivos sensibles fuera del directorio esperado puede proporcionar una capa adicional de protección. Después de la actualización, confirme la corrección verificando que el archivo docker-compose.yml no pueda ser modificado por usuarios no autenticados.
Actualice runtipi a la versión 4.7.2 o superior. Esta versión corrige la vulnerabilidad de Path Traversal que permite la sobreescritura no autenticada del archivo docker-compose.yml. La actualización previene la ejecución remota de código y el compromiso del sistema de archivos del host.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25116 is a Path Traversal vulnerability in Runtipi versions 4.5.0 through 4.7.1, allowing attackers to overwrite the docker-compose.yml file and potentially achieve Remote Code Execution.
You are affected if you are running Runtipi versions 4.5.0 through 4.7.1. Upgrade to version 4.7.2 to mitigate the vulnerability.
The recommended fix is to upgrade Runtipi to version 4.7.2. If immediate upgrade is not possible, restrict access to the /user/config endpoint.
Active exploitation is currently unconfirmed, but the vulnerability's severity and ease of exploitation warrant close monitoring.
Refer to the official Runtipi project website and security advisories for the latest information and updates regarding CVE-2026-25116.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Dockerfile y te decimos al instante si estás afectado.