Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to version 4.0.0-beta.420.7, a Remote Code Execution (RCE)*vulnerability exists in Coolify's application deployment workflow. This flaw allows a low-privileged member to inject arbitrary Docker Compose directives during project creation or updates. By defining a malicious service that mounts the host filesystem, an attacker can achieve root-level command execution on the host OS, completely bypassing container isolation. Version 4.0.0-beta.420.7 contains a patch for the issue.
Coolify versions before 4.0.0-beta.420.7 contain a critical Remote Code Execution vulnerability allowing low-privileged users to inject malicious Docker Compose directives and execute arbitrary commands with root privileges. The flaw bypasses container isolation by mounting the host filesystem through crafted service definitions.
تسمح هذه الثغرة للمستخدمين ذوي الصلاحيات المنخفضة بحقن توجيهات Docker Compose ضارة أثناء إنشاء أو تحديث المشاريع. يمكن للمهاجم تعريف خدمة خبيثة تركب نظام الملفات المضيف وتحقق تنفيذ أوامر بصلاحيات الجذر على نظام التشغيل المضيف.
إصدارات Coolify السابقة للإصدار 4.0.0-beta.420.7 تحتوي على ثغرة تنفيذ أوامر بعيدة حرجة تسمح للمستخدمين ذوي الصلاحيات المنخفضة بحقن توجيهات Docker Compose ضارة وتنفيذ أوامر عشوائية بصلاحيات الجذر. تتجاوز الثغرة عزل الحاويات من خلال تعريفات الخدمات المصنوعة بعناية.
Immediately upgrade Coolify to version 4.0.0-beta.420.7 or later. Implement strict access controls limiting project creation and modification permissions to trusted administrators only. Validate and sanitize all Docker Compose configurations before deployment. Monitor container runtime activities for suspicious filesystem mount operations. Restrict low-privileged user capabilities in deployment workflows.
قم بترقية Coolify فوراً إلى الإصدار 4.0.0-beta.420.7 أو أحدث. طبق ضوابط وصول صارمة تقصر صلاحيات إنشاء وتعديل المشاريع على المسؤولين الموثوقين فقط. تحقق من صحة وتطهير جميع تكوينات Docker Compose قبل النشر. راقب أنشطة وقت تشغيل الحاويات للعمليات المريبة لتركيب نظام الملفات. قيد قدرات المستخدمين ذوي الصلاحيات المنخفضة في سير عمل النشر.