CVE-2025-22606

Nome do Software Vulnerável e Versões Afetadas Versões do Coolify 4.0.0-beta.358 e anteriores

Descrição A falha permite que invasores injetem comandos shell arbitrários ao alterar o nome do projeto, potencialmente resultando em comprometimento total do sistema, criação, modificação ou exclusão de arquivos sensíveis do sistema e escalonamento de privilégios. Isso pode ser alcançado incluindo caracteres não escapados, como aspas simples (``), no nome do projeto, o que rompe a estrutura de comando pretendida. Invasores com acesso a recursos de gerenciamento de projetos podem explorar essa falha para obter controle não autorizado sobre o ambiente host.

Recomendações Para as versões do Coolify 4.0.0-beta.358 e anteriores, atualize para a versão 4.0.0-beta.359 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos recursos de gerenciamento de projetos para minimizar o risco de exploração. Evite usar caracteres não escapados, como aspas simples (``), nos nomes dos projetos até que o problema seja resolvido.