PT-2025-4593 · Coolify · Coolify

Angelej

·

Publicado

2025-01-24

·

Atualizado

2025-01-24

·

CVE-2025-22607

CVSS v4.0

5.7

Média

VetorAV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do Coolify anteriores a 4.0.0-beta.361
Descrição O problema está relacionado à falta de autorização no Coolify, permitindo que qualquer usuário autenticado acesse informações sensíveis, incluindo client id, client secret e webhook secret, de qualquer configuração do GitHub ou GitLab, ao conhecer o UUID do modelo.
Recomendações Para versões anteriores a 4.0.0-beta.361, atualize para a versão 4.0.0-beta.361 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de detalhes de configuração do GitHub e GitLab para minimizar o risco de exploração.

Exploit

Correção

Missing Authorization

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862CWE-200

Identificadores relacionados

CVE-2025-22607
GHSA-8W24-GFGQ-JG72

Produtos afetados

Coolify