Platform
docker
Component
runtipi
Opgelost in
4.5.1
CVE-2026-25116 beschrijft een Path Traversal kwetsbaarheid in Runtipi, een personal homeserver orchestrator. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om de docker-compose.yml configuratie te overschrijven, wat resulteert in Remote Code Execution (RCE) en potentieel volledige controle over het systeem. De kwetsbaarheid treedt op in versies 4.5.0 tot en met 4.7.1 en is verholpen in versie 4.7.2.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om de docker-compose.yml configuratie te manipuleren, waardoor ze kwaadaardige containers kunnen implementeren en uitvoeren. Dit kan leiden tot volledige controle over het homeserver systeem, inclusief toegang tot gevoelige data, installatie van malware en het gebruik van de server voor verdere aanvallen. De mogelijkheid tot RCE maakt dit een kritieke kwetsbaarheid die onmiddellijke aandacht vereist. Het is vergelijkbaar met scenario's waarbij configuratiebestanden worden overschreven om toegang te krijgen tot een systeem.
Deze kwetsbaarheid is openbaar bekend en de impact is hoog vanwege de mogelijkheid tot Remote Code Execution. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van de mitigatie onderstreept. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits bekend.
Users running Runtipi in exposed environments, particularly those with limited network segmentation, are at the highest risk. Shared hosting environments where multiple users share the same Runtipi instance are also particularly vulnerable, as an attacker could potentially compromise the entire host.
• docker: Inspect running containers for unexpected processes or configurations.
docker ps --format '{{.Names}} {{.Image}}' | grep -i 'malicious'
docker inspect <container_name> | grep -i 'docker-compose.yml'• linux / server: Monitor system logs for unusual activity related to the Runtipi process.
journalctl -u runtipi -f | grep -i 'error'• generic web: Monitor access logs for requests targeting /user/config with suspicious path traversal patterns (e.g., ../).
• generic web: Check response headers for unexpected content or redirection.
disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Runtipi naar versie 4.7.2 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie (indien beschikbaar) totdat de upgrade kan worden uitgevoerd. Als een upgrade niet direct mogelijk is, implementeer dan tijdelijke maatregelen zoals het beperken van netwerktoegang tot de UserConfigController endpoint via een Web Application Firewall (WAF) of proxy. Controleer de toegang tot de docker-compose.yml configuratie en zorg ervoor dat deze alleen toegankelijk is voor geautoriseerde gebruikers. Na de upgrade, bevestig de correctie door te controleren of de UserConfigController geen ongeautoriseerde paden meer accepteert.
Actualice runtipi a la versión 4.7.2 o superior. Esta versión corrige la vulnerabilidad de Path Traversal que permite la sobreescritura no autenticada del archivo docker-compose.yml. La actualización previene la ejecución remota de código y el compromiso del sistema de archivos del host.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25116 is a Path Traversal vulnerability in Runtipi versions 4.5.0 through 4.7.1, allowing attackers to overwrite the docker-compose.yml file and potentially achieve Remote Code Execution.
You are affected if you are running Runtipi versions 4.5.0 through 4.7.1. Upgrade to version 4.7.2 to mitigate the vulnerability.
The recommended fix is to upgrade Runtipi to version 4.7.2. If immediate upgrade is not possible, restrict access to the /user/config endpoint.
Active exploitation is currently unconfirmed, but the vulnerability's severity and ease of exploitation warrant close monitoring.
Refer to the official Runtipi project website and security advisories for the latest information and updates regarding CVE-2026-25116.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Dockerfile-bestand en we vertellen je direct of je getroffen bent.