PT-2026-53892 · Coolify · Coolify
Publicado
2026-06-30
·
Atualizado
2026-06-30
·
CVE-2026-27956
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Coolify versões anteriores a 4.0.0-beta.464
Description
Um usuário autenticado da API pode ignorar o escopo da equipe para enumerar nomes de domínio totalmente qualificados (FQDNs) de aplicações pertencentes a outras equipes. Isso ocorre quando o parâmetro de consulta opcional
uuid é fornecido ao endpoint 'GET /api/v1/servers/{server uuid}/domains?uuid={app uuid}'.Recommendations
Atualize para a versão 4.0.0-beta.464.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Coolify