PT-2026-56145 · Coolify · Coolify

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-42201

CVSS v3.1

3.3

Baixa

VetorAV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Coolify versões anteriores a 4.0.0-beta.474
Description Os campos de credenciais de banco de dados são validados apenas como strings na camada de API, sem verificações de segurança de shell. Esses valores são interpolados diretamente em comandos YAML do Docker Compose sem escape, o que pode levar à injeção de comandos. As variáveis afetadas incluem redis password, keydb password, dragonfly password, clickhouse admin user, clickhouse admin password, postgres user e mysql user.
Recommendations Atualize para a versão 4.0.0-beta.474.

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-42201

Produtos afetados

Coolify