Katalog CVE

CVE-2026-57498

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Coolify przed wersją 4.0.0-beta.474 zawiera podatność polegającą na braku walidacji własności serwera w komponentach Livewire. Komponenty te akceptują parametry server_id i destination_uuid z zapytań URL bez sprawdzania przynależności do zespołu, co umożliwia wdrożenie zasobów na serwerach innych zespołów.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do wdrożenia aplikacji lub usług na serwerach należących do innych zespołów, co prowadzi do nieautoryzowanego dostępu do danych i potencjalnego przejęcia kontroli nad infrastrukturą.

Rekomendacja

Należy natychmiast zaktualizować Coolify do wersji 4.0.0-beta.474 lub nowszej, która zawiera poprawkę eliminującą brak walidacji własności serwera w komponentach Livewire.

Oryginalny opis (angielski, źródło NVD)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, Coolify's API controllers consistently validate server ownership with Server::whereTeamId($teamId) before any operation. However, multiple Livewire web UI components accept server_id and destination_uuid from URL query parameters without any team ownership validation, allowing cross-team resource deployment. This vulnerability is fixed in 4.0.0-beta.474.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS