CVE-2026-34592
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W Coolify przed wersją 4.0.0-beta.471 brakuje ograniczenia dostępu do serwerów i projektów do bieżącego zespołu. Uwierzytelniony użytkownik może uzyskać dostęp do zasobów innych zespołów, podając bezpośrednio ich identyfikatory.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do poufnych danych i konfiguracji serwerów oraz aplikacji należących do innych zespołów, co może prowadzić do wycieku informacji lub naruszenia integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować Coolify do wersji 4.0.0-beta.471 lub nowszej, która zawiera poprawkę ograniczającą zakres wyszukiwania do bieżącego zespołu.
Oryginalny opis (angielski, źródło NVD)
Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.471, Coolify server and project lookups are not scoped to the current team, allowing any authenticated user to access servers and projects belonging to other teams by specifying their IDs directly. This vulnerability is fixed in 4.0.0-beta.471.

