← voltar
CVE-2026-34038

Coolify authenticated remote command injection leading to RCE and secret exfiltration

CVSS 9.9 CRITICALEPSS 2.5%CWE-78
Vexday Risk Score
48Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
PoC popular no GitHub (1 estrelas) — código de exploração amplamente disponível.
CVSS 9.9EPSS 2.5%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
04 jul 2026PoC pública
06 jul 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.469, an authenticated remote command injection vulnerability in application deployment handling allows users with application write permissions to achieve remote code execution and exfiltrate sensitive environment variables through deployment logs via fields such as dockerfile_location and deployment commands. This issue is fixed in version 4.0.0-beta.469.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
coollabsio · coolify
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.