CVE-2026-57498
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Coolify przed wersją 4.0.0-beta.474 zawiera podatność polegającą na braku walidacji własności serwera w komponentach Livewire. Komponenty te akceptują parametry server_id i destination_uuid z zapytań URL bez sprawdzania przynależności do zespołu, co umożliwia wdrożenie zasobów na serwerach innych zespołów.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do wdrożenia aplikacji lub usług na serwerach należących do innych zespołów, co prowadzi do nieautoryzowanego dostępu do danych i potencjalnego przejęcia kontroli nad infrastrukturą.
Rekomendacja
Należy natychmiast zaktualizować Coolify do wersji 4.0.0-beta.474 lub nowszej, która zawiera poprawkę eliminującą brak walidacji własności serwera w komponentach Livewire.
Oryginalny opis (angielski, źródło NVD)
Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, Coolify's API controllers consistently validate server ownership with Server::whereTeamId($teamId) before any operation. However, multiple Livewire web UI components accept server_id and destination_uuid from URL query parameters without any team ownership validation, allowing cross-team resource deployment. This vulnerability is fixed in 4.0.0-beta.474.

