Katalog CVE

CVE-2026-34594

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.09%

Percentyl 61 — wyżej niż 61% wszystkich znanych CVE

Streszczenie

W Coolify przed wersją 4.0.0-beta.471 wykryto podatność na wstrzykiwanie poleceń w funkcji zarządzania siecią docelową. Uwierzytelniony użytkownik z uprawnieniami do zarządzania siecią może przekazać złośliwy parametr "network", który jest bezpośrednio wykonywany w powłoce, co pozwala na zdalne wykonanie kodu jako root na zarządzanym serwerze.

Ocena ryzyka

Atakujący może przejąć pełną kontrolę nad zarządzanym serwerem, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz usług. Podatność umożliwia eskalację uprawnień do poziomu roota.

Rekomendacja

Należy niezwłocznie zaktualizować Coolify do wersji 4.0.0-beta.471 lub nowszej. Do czasu aktualizacji należy ograniczyć uprawnienia do zarządzania siecią tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.471, an authenticated command injection vulnerability in the Destination Network Management functionality allows users with destination management permissions to execute arbitrary commands as root on managed servers. The "network" parameter is passed directly to shell commands without proper sanitization, enabling full remote code execution on the host system. This vulnerability is fixed in 4.0.0-beta.471.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS