Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. In Coolify versions up to and including v4.0.0-beta.434, an attacker can initiate a password reset for a victim, and modify the host header of the request to a malicious value. The victim will receive a password reset email, with a link to the malicious host. If the victim clicks this link, their reset token is sent to the attacker's server, allowing the attacker to use it to change the victim's password and takeover their account. As of time of publication, it is unclear if a patch is available.
Coolify versions up to v4.0.0-beta.434 contain a host header injection vulnerability (CWE-644) allowing attackers to manipulate password reset emails. By modifying the host header during password reset requests, attackers can redirect victims to malicious servers, capturing reset tokens and enabling full account takeover. Active exploits exist with no patch currently available.
تؤثر هذه الثغرة الأمنية على منصة Coolify لإدارة الخوادم والتطبيقات وقواعد البيانات. يستغل المهاجمون ضعف التحقق من رأس المضيف في آلية إعادة تعيين كلمة المرور، حيث يقومون ببدء طلب إعادة تعيين لحساب الضحية مع تعديل رأس المضيف إلى قيمة ضارة. عندما يتلقى الضحية رسالة إعادة التعيين الإلكترونية ويضغط على الرابط، يتم إرسال رمز إعادة التعيين إلى خادم المهاجم بدلاً من الخادم الشرعي. يمكن للمهاجم بعد ذلك استخدام هذا الرمز لتغيير كلمة مرور الضحية والاستيلاء الكامل على الحساب. تشكل هذه الثغرة خطراً كبيراً خاصة مع عدم توفر تصحيح رسمي حتى الآن ووجود استغلالات نشطة موثقة.
تحتوي إصدارات Coolify حتى v4.0.0-beta.434 على ثغرة حقن رأس المضيف (CWE-644) تسمح للمهاجمين بالتلاعب برسائل إعادة تعيين كلمة المرور الإلكترونية. من خلال تعديل رأس المضيف أثناء طلبات إعادة تعيين كلمة المرور، يمكن للمهاجمين إعادة توجيه الضحايا إلى خوادم ضارة والاستيلاء على رموز إعادة التعيين مما يمكنهم من السيطرة الكاملة على الحسابات. توجد استغلالات نشطة دون توفر تصحيح حالياً.
1. Immediately discontinue use of Coolify in production environments until an official patch is released, or implement strict network segmentation to isolate Coolify instances from internet access and require VPN/bastion host access only.
2. Implement web application firewall (WAF) rules to validate and restrict Host header values to only legitimate domain names, blocking requests with suspicious or external host headers at the perimeter.
3. Enable multi-factor authentication (MFA) for all Coolify accounts to add an additional security layer beyond password-based authentication, and monitor authentication logs for suspicious password reset attempts or unusual login patterns from unexpected IP addresses.
1. إيقاف استخدام Coolify فوراً في بيئات الإنتاج حتى صدور تصحيح رسمي، أو تطبيق تجزئة صارمة للشبكة لعزل نسخ Coolify عن الوصول للإنترنت وطلب الوصول فقط عبر VPN أو مضيف الحصن.
2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) للتحقق من صحة قيم رأس المضيف وتقييدها للسماح فقط بأسماء النطاقات الشرعية، وحظر الطلبات ذات رؤوس المضيف المشبوهة أو الخارجية عند المحيط الأمني.
3. تفعيل المصادقة متعددة العوامل (MFA) لجميع حسابات Coolify لإضافة طبقة أمان إضافية تتجاوز المصادقة القائمة على كلمة المرور، ومراقبة سجلات المصادقة لاكتشاف محاولات إعادة تعيين كلمة المرور المشبوهة أو أنماط تسجيل الدخول غير المعتادة من عناوين IP غير متوقعة.