Katalog CVE

CVE-2026-27881

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Coolify przed wersją 4.0.0-beta.464 zawiera podatność w endpointcie `GET /api/v1/deployments/{uuid}`, który nie sprawdza, czy wdrożenie należy do zespołu uwierzytelnionego użytkownika. Każdy zalogowany użytkownik API może odczytać szczegóły wdrożeń z innych zespołów, znając poprawny UUID wdrożenia.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do poufnych danych wdrożeń innych zespołów, co może prowadzić do wycieku informacji o konfiguracji aplikacji, baz danych lub serwerów.

Rekomendacja

Należy natychmiast zaktualizować Coolify do wersji 4.0.0-beta.464 lub nowszej, która zawiera poprawkę usuwającą tę lukę.

Oryginalny opis (angielski, źródło NVD)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.464, `GET /api/v1/deployments/{uuid}` in DeployController.php retrieves deployment details without validating that the deployment belongs to the authenticated user's team. Any authenticated API user can read deployment records from other teams by providing a valid deployment UUID. This vulnerability is fixed in 4.0.0-beta.464.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS