Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to version 4.0.0-beta.420.7, a Remote Code Execution (RCE)*vulnerability exists in Coolify's application deployment workflow. This flaw allows a low-privileged member to inject arbitrary Docker Compose directives during project creation or updates. By defining a malicious service that mounts the host filesystem, an attacker can achieve root-level command execution on the host OS, completely bypassing container isolation. Version 4.0.0-beta.420.7 contains a patch for the issue.
Coolify versions prior to 4.0.0-beta.420.7 contain a critical Remote Code Execution vulnerability (CVE-2025-59156) that allows low-privileged users to inject malicious Docker Compose directives during application deployment. Attackers can mount the host filesystem and execute arbitrary commands with root privileges, completely bypassing container isolation. Active exploits exist with no patch available for older versions.
تمثل هذه الثغرة خطراً أمنياً بالغاً في منصة Coolify لإدارة الخوادم والتطبيقات والقواعد البيانية. يستغل المهاجمون نقطة ضعف في آلية التحقق من صحة مدخلات Docker Compose، مما يسمح بحقن توجيهات خبيثة تقوم بتثبيت نظام ملفات المضيف داخل الحاوية. بمجرد تثبيت النظام، يمكن للمهاجم تنفيذ أوامر بصلاحيات الجذر على نظام التشغيل المضيف، مما يؤدي إلى اختراق كامل للبنية التحتية. الثغرة مصنفة ضمن CWE-78 (حقن أوامر نظام التشغيل) وتحمل درجة خطورة عالية 8.8 على مقياس CVSS، مع وجود استغلالات نشطة في البرية.
تحتوي إصدارات Coolify الأقدم من 4.0.0-beta.420.7 على ثغرة حرجة لتنفيذ التعليمات البرمجية عن بعد (CVE-2025-59156) تسمح للمستخدمين ذوي الصلاحيات المنخفضة بحقن توجيهات Docker Compose خبيثة أثناء نشر التطبيقات. يمكن للمهاجمين تثبيت نظام ملفات المضيف وتنفيذ أوامر عشوائية بصلاحيات الجذر، متجاوزين بذلك عزل الحاويات بالكامل. توجد استغلالات نشطة دون توفر تصحيح للإصدارات القديمة.
1. Immediately upgrade all Coolify instances to version 4.0.0-beta.420.7 or later, and conduct a thorough audit of all existing Docker Compose configurations for malicious directives or unauthorized volume mounts.
2. Implement strict role-based access controls (RBAC) limiting project creation and modification privileges to trusted administrators only, and enable comprehensive logging and monitoring of all Docker Compose deployment activities.
3. Deploy network segmentation to isolate container orchestration platforms from critical production systems, implement file integrity monitoring on host filesystems, and establish incident response procedures for potential container escape scenarios.
1. الترقية الفورية لجميع نسخ Coolify إلى الإصدار 4.0.0-beta.420.7 أو أحدث، وإجراء مراجعة شاملة لجميع تكوينات Docker Compose الموجودة للكشف عن التوجيهات الخبيثة أو عمليات التثبيت غير المصرح بها.
2. تطبيق ضوابط صارمة للوصول المبني على الأدوار (RBAC) لتقييد صلاحيات إنشاء وتعديل المشاريع للمسؤولين الموثوقين فقط، وتفعيل التسجيل والمراقبة الشاملة لجميع أنشطة نشر Docker Compose.
3. نشر تجزئة الشبكة لعزل منصات تنسيق الحاويات عن الأنظمة الإنتاجية الحرجة، وتطبيق مراقبة سلامة الملفات على أنظمة ملفات المضيف، وإنشاء إجراءات الاستجابة للحوادث لسيناريوهات الهروب المحتملة من الحاويات.