CVE-2025-66209
CriticalSummary
Coolify to narzędzie typu open-source do zarządzania serwerami, aplikacjami i bazami danych. Przed wersją 4.0.0-beta.451 występowała podatność na wstrzyknięcie poleceń w funkcjonalności tworzenia kopii zapasowych baz danych, umożliwiająca użytkownikom z uprawnieniami do zarządzania aplikacjami/serwisami wykonywanie dowolnych poleceń jako root na zarządzanych serwerach.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerami. Użytkownicy z odpowiednimi uprawnieniami mogą wykorzystać tę lukę do wykonania nieautoryzowanych działań.
Recommendation
Zaleca się aktualizację do wersji 4.0.0-beta.451 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to version 4.0.0-beta.451, an authenticated command injection vulnerability in the Database Backup functionality allows users with application/service management permissions to execute arbitrary commands as root on managed servers. Database names used in backup operations are passed directly to shell commands without sanitization, enabling full remote code execution. Version 4.0.0-beta.451 fixes the issue.

