Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. In Coolify versions up to and including v4.0.0-beta.434, a low privileged user (member) can see and use invitation links sent to an administrator. When they use the link before the legitimate recipient does, they are able to log in as an administrator, meaning they have successfully escalated their privileges. As of time of publication, it is unclear if a patch is available.
Coolify versions up to v4.0.0-beta.434 contain a privilege escalation vulnerability where low-privileged users can intercept and use administrator invitation links to gain unauthorized admin access. This authentication bypass allows attackers to escalate privileges by using invitation links before legitimate recipients.
ثغرة تصعيد امتيازات في Coolify تسمح للمستخدمين ذوي الامتيازات المنخفضة برؤية واستخدام روابط دعوة المسؤول. عندما يستخدم المستخدم الرابط قبل المستقبل الشرعي، يمكنه تسجيل الدخول كمسؤول والحصول على وصول إداري كامل. تؤثر هذه الثغرة على جميع إصدارات Coolify حتى v4.0.0-beta.434 ولم يتم توفير إصلاح حتى وقت النشر.
إصدارات Coolify حتى v4.0.0-beta.434 تحتوي على ثغرة تصعيد امتيازات حيث يمكن للمستخدمين ذوي الامتيازات المنخفضة اعتراض واستخدام روابط دعوة المسؤول للحصول على وصول إداري غير مصرح به. يسمح هذا الالتفاف حول المصادقة للمهاجمين بتصعيد الامتيازات باستخدام روابط الدعوة قبل المستقبلين الشرعيين.
Immediately upgrade Coolify to a patched version beyond v4.0.0-beta.434 when available. Implement access controls to restrict invitation link visibility to authorized administrators only. Audit all active invitation links and revoke any suspicious ones. Monitor user privilege escalation attempts and implement rate limiting on invitation link usage.
قم بالترقية الفورية إلى إصدار مصحح من Coolify يتجاوز v4.0.0-beta.434 عند توفره. تطبيق ضوابط الوصول لتقييد رؤية روابط الدعوة للمسؤولين المصرح لهم فقط. تدقيق جميع روابط الدعوة النشطة وإلغاء أي روابط مريبة. مراقبة محاولات تصعيد امتيازات المستخدم وتطبيق تحديد معدل على استخدام روابط الدعوة.