CVE-2026-57498
🟠 Łataj w tym tygodniu
Brak walidacji własności serwera w Coolify umożliwia wdrażanie zasobów między zespołami.
CVSS
9.6
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.474, Coolify's API controllers consistently validate server ownership with Server::whereTeamId($teamId) before any operation. However, multiple Livewire web UI components accept server_id and destination_uuid from URL query parameters without any team ownership validation, allowing cross-team resource deployment. This vulnerability is fixed in 4.0.0-beta.474.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.6 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-06-29 20:17:40 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-29 20:17:40 UTC |
Referencje
- https://github.com/coollabsio/coolify/security/advisories/GHSA-725v-f5gh-22q9 (security-advisories@github.com)