الثغرات ›

CVE-2025-59156

مرتفع ⚡ اختراق متاح

ثغرة حرجة لتنفيذ التعليمات البرمجية عن بعد في Coolify تسمح بالهروب من الحاويات

CWE-78 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to version 4.0.0-beta.420.7, a Remote Code Execution (RCE)*vulnerability exists in Coolify's application deployment workflow. This flaw allows a low-privileged member to inject arbitrary Docker Compose directives during project creation or updates. By defining a malicious service that mounts the host filesystem, an attacker can achieve root-level command execution on the host OS, completely bypassing container isolation. Version 4.0.0-beta.420.7 contains a patch for the issue.

🤖 ملخص AI

Coolify versions before 4.0.0-beta.420.7 contain a critical Remote Code Execution vulnerability allowing low-privileged users to inject malicious Docker Compose directives and execute arbitrary commands with root privileges. The flaw bypasses container isolation by mounting the host filesystem through crafted service definitions.

📄 الوصف (العربية)

تسمح هذه الثغرة للمستخدمين ذوي الصلاحيات المنخفضة بحقن توجيهات Docker Compose ضارة أثناء إنشاء أو تحديث المشاريع. يمكن للمهاجم تعريف خدمة خبيثة تركب نظام الملفات المضيف وتحقق تنفيذ أوامر بصلاحيات الجذر على نظام التشغيل المضيف.

🤖 ملخص تنفيذي (AI)

إصدارات Coolify السابقة للإصدار 4.0.0-beta.420.7 تحتوي على ثغرة تنفيذ أوامر بعيدة حرجة تسمح للمستخدمين ذوي الصلاحيات المنخفضة بحقن توجيهات Docker Compose ضارة وتنفيذ أوامر عشوائية بصلاحيات الجذر. تتجاوز الثغرة عزل الحاويات من خلال تعريفات الخدمات المصنوعة بعناية.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 10:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1203 T1610 T1548

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Coolify to version 4.0.0-beta.420.7 or later. Implement strict access controls limiting project creation and modification permissions to trusted administrators only. Validate and sanitize all Docker Compose configurations before deployment. Monitor container runtime activities for suspicious filesystem mount operations. Restrict low-privileged user capabilities in deployment workflows.

🔧 خطوات المعالجة (العربية)

قم بترقية Coolify فوراً إلى الإصدار 4.0.0-beta.420.7 أو أحدث. طبق ضوابط وصول صارمة تقصر صلاحيات إنشاء وتعديل المشاريع على المسؤولين الموثوقين فقط. تحقق من صحة وتطهير جميع تكوينات Docker Compose قبل النشر. راقب أنشطة وقت تشغيل الحاويات للعمليات المريبة لتركيب نظام الملفات. قيد قدرات المستخدمين ذوي الصلاحيات المنخفضة في سير عمل النشر.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.12.2.1 A.12.6.1 A.14.2.1

🔗 المراجع والمصادر 1

🔗

https://github.com/coollabsio/coolify/security/advisories/GHSA-h5xw-7xvp-xrxr

security-advisories@github.com

Vendor Advisory Exploit

📦 المنتجات المتأثرة 50 منتج

coollabs:coolify

coollabs:coolify:4.0.0

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-78

EPSS0.42%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-78

🏢 توجيهات البائع

🔗 https://github.com/coollabsio/coolify/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-59156

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب