Informazioni sul CVE-2025-22606
Coolify Command Injection Vulnerability in Project Name
CWE ID: CWE-78
Base Score (CVSS): 8.5
CVE: CVE-2025-22606
Descrizione: Coolify è uno strumento open-source e self-hostabile per la gestione di server, applicazioni e database. In versione 4.0.0-beta.358 e potenzialmente versioni precedenti, quando si crea o aggiorna un “progetto”, è possibile iniettare comandi shell arbitrari modificando il nome del progetto. Se il nome include caratteri non sanificati, come le virgolette singole (`’`), si interrompe la struttura del comando inteso, consentendo agli attaccanti di eseguire comandi arbitrari sul sistema host. Questa vulnerabilità consente agli attaccanti di eseguire comandi arbitrari sul server host, il che potrebbe portare a una compromissione completa del sistema; creare, modificare o eliminare file di sistema sensibili; e aumentare i privilegi in base alle autorizzazioni del processo eseguito. Gli attaccanti con accesso alle funzionalità di gestione dei progetti potrebbero sfruttare questo difetto per ottenere un controllo non autorizzato sull’ambiente host. La versione 4.0.0-beta.359 risolve questo problema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- coollabsio – coolify
Relazioni con altri prodotti
Produttore:coollabsio
Prodotto: coolify
Anno: 2025
CWE: CWE-78
CVSS: 8.5