PT-2026-56128 · Coolify · Coolify

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-34037

CVSS v3.1

9.9

Crítica

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Nome do Software Vulnerável e Versões Afetadas Coolify versões anteriores a 4.0.0-beta.464
Description Um usuário autenticado pode clonar recursos para destinos pertencentes a outras equipes e acessar recursos entre locatários (cross-tenant). Isso ocorre porque a ação Livewire cloneTo() em ResourceOperations.php autoriza o recurso de origem, mas resolve os recursos de destino usando buscas Eloquent não escopadas, que são consultas ao banco de dados que não aplicam as restrições de propriedade ou locatário necessárias.
Recommendations Atualize para a versão 4.0.0-beta.464.

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-34037

Produtos afetados

Coolify