کشف مجموعه آسیب‌پذیری‌ها در ابزار Coolify

Coolify یک نرم‌افزار متن‌باز خودمیزبان برای مدیریت سرورها، برنامه‌ها و پایگاه‌های داده است .این پلتفرم امکان اجرای برنامه‌ها روی سرورهای شخصی یا سازمانی را با کنترل کامل داده‌ها و هزینه‌ها فراهم می‌کند. از آن‌جا که خودمیزبانی به معنای نگهداری داده‌ها و سرویس‌های حیاتی در زیرساخت سازمان است، آسیب‌پذیری در ابزارهای خودمیزبان می‌تواند به نشت داده‌های حساس، اجرای کد دلخواه یا دسترسی غیرمجاز به منابع منجر شود. 
جزئیات آسیب‌پذیری ها
– آسیب پذیری تزریق دستور در Docker Composeبا شناسه CVE-2025-64419
این نقص یک آسیب‌پذیری تزریق دستور در بخش پردازش فایل docker-compose.yaml  با شدت 9.6 است. این آسیب‌پذیری به دلیل ضعف در فیلترکردن کاراکترهای ویژه فرمان (CWE-77) رخ داده است. پارامترهای فایل Docker Compose به درستی پاک‌سازی نمی‌شوند و مهاجم با دسترسی کم امتیاز می‌تواند یک مخزن مخرب حاوی docker-compose.yaml ویژه و دستورات اضافی در پارامترهایی مانند volumes.sourceایجاد کند. هنگامی که یک کاربر قربانی اقدام به استقرار این پروژه می‌کند، Coolify دستورات مخرب را در قالب فرمان‌های  docker exec اجرا کرده و به مهاجم اجازه می‌دهد کد دلخواه را با سطح دسترسی root روی سرور Coolify اجرا کند. بنابراین محرمانگی، یکپارچگی و دسترس‌پذیری سیستم تحت تأثیر قرار می‌گیرد.
– آسیب پذیری افشای کلید خصوصی کاربر root با شناسه CVE-2025-64420
در این آسیب،-پذیری که شدت آن 9.9  ارزیابی شده است کاربران با دسترسی سطح پایین می‌توانند کلید خصوصی SSH کاربر root سیستم را در رابط مدیریت مشاهده کنند. بدین ترتیب، یک کاربر غیرمدیر با داشتن این کلید می‌تواند به‌صورت مستقیم و بدون احراز هویت مجدد SSH  بزند و دسترسی ممتاز به سرور بدست آورد.
– آسیب پذیری افزایش سطح دسترسی با استفاده از پروسه دعوت کاربر با شناسه CVE-2025-64421
این آسیب‌پذیری منجر به افزایش غیرمجاز سطح دسترسی کاربر می‌شود. در نسخه‌های Coolify  قبل از v4.0.0-beta.434، یک کاربر با دسترسی سطح پایین (عضو عادی) می‌تواند با سوءاستفاده از فرآیند دعوت کاربر جدید، نقش مدیر را به خود اختصاص دهد. مهاجم پس از ایجاد دعوت‌نامه برای کاربر ممتاز، ابتدا با خطای سیستم مواجه می‌شود، اما در کلیک دوم بر روی دکمه دعوت، فرایند دعوت با موفقیت انجام می‌شود. این نقص بعلت وجود مشکل در فرآیند تأیید هویت و مجوز (CWE-863) رخ داده است و شدت آن 8.7 ارزیابی شده است. در این حالت مهاجم، با نام کاربری دعوت‌شده به‌عنوان مدیر، می‌تواند فرآیند بازنشانی رمز عبور را اجرا کرده و سپس با رمز جدید وارد حساب مدیر شود. 
– آسیب پذیری تزریق دستور از طریق فایل Docker Compose با شناسه CVE-2025-59156
این آسیب‌پذیری بحرانی با شدت 9.4 از نوع اجرای کد از راه دور است و در جریان راه‌اندازی برنامه‌ها وجود دارد. در نسخه‌های قبل از  v4.0.0-beta.420.6، کاربر عضو می‌تواند یک فایل Docker Compose حاوی تنظیماتی برای نصب حجم‌های دامنه روی سیستم میزبان تزریق کند. به‌طور خاص، سرویس مخربی تعریف می‌شود که پوشه ریشه (/) میزبان را به کانتینر  متصل کرده و فرمان shell اجرا می‌کند. در نتیجه مهاجم می‌تواند دستورات دلخواه را با سطح دسترسی root روی سیستم میزبان اجرا کند و از جداسازی امنیتی کانتینر عبور کند. این ضعف از نوع تزریق فرمان به سیستم عامل (CWE-78) است و اجرای دلخواه کد در سطح ریشه، خواندن/نوشتن فایل‌های سیستمی و به خطر انداختن کامل میزبان میتواند از اثرات آن باشد.
-آسیب پذیری تزریق دستور در فیلد Git Repositoryبا شناسه CVE-2025-59157
در نسخه v4.0.0-beta.420.6 و نسخه های قبل از آن، در فرایند ایجاد پروژه فیلد آدرس مخزن گیت به درستی پاک‌سازی نمی‌شود و می‌توان فرمان‌های تعبیه‌شده در URL گیت را اجرا کرد. برای مثال، وارد کردن آدرسی مانند #git@:repo; cat /etc/passwd باعث می‌شود دستور cat /etc/passwd هنگام دریافت و کپی کامل مخزن اجرا شده و محتویات فایل passwd سرور نمایش داده شود. این ضعف که شدت آن 9.9 ارزیابی شده و از نوع تزریق دستور است به کاربر عضو امکان می‌دهد کد دلخواه را روی سرور اجرا کند و کنترل سیستم را به دست بگیرد . نسخه‌ی v4.0.0-beta.420.7 این نقص را برطرف کرده است.
-آسیب پذیری افشای XSS در نام پروژه با شناسه CVE-2025-59158
 در نسخه v4.0.0-beta.420.6 و پیش از آن، در فرآیند ایجاد پروژه Coolify آسیب پذیری از نوع XSS ذخیره‌شده با شدت 9.4 شناسایی شده است. کاربر عادی می‌تواند یک پروژه جدید با نامی حاوی کد JavaScript مخرب،یک تگ HTML حاوی رویدادهای onload یا onerror بسازد. این نام مخرب در پایگاه داده ذخیره شده و زمانی که مدیر سیستم برای حذف پروژه یا منابع آن اقدام کند، کد جاوااسکریپت در مرورگر مدیر اجرا می‌شود. با اجرای اسکریپت در مرورگر مدیر، مهاجم می‌تواند نشانه‌های دسترسی (مثل توکن‌های API یا کوکی‌های نشست) را سرقت و دسترسی مدیریتی برای خود ایجاد کند. این ضعف امنیتی مربوط به عدم رمزنگاری/فرار کاراکترهای خروجی (CWE-116) است و یکپارچگی و امنیت سامانه را به‌طور کامل نقض می‌کند.

نسخه‌های تحت تاثیر
CVE-2025-64419:نسخه‌های قبل  از v4.0.0-beta.436آسیب‌پذیر هستند.
CVE-2025-64421وCVE-2025-64420 : نسخه‌های v4.0.0-beta.434 و نسحه های قبل از آن آسیب‌پذیر هستند.
CVE-2025-59156: نسخه‌های v4.0.0-beta.420.6 و قبل از آن آسیب‌پذیرند. نسخه‌ی v4.0.0-beta.420.7 این مشکل را برطرف کرده است.
CVE-2025-59157و CVE-2025-59158: نسخه v4.0.0-beta.420.6 و تمام نسخه های قبل از آن آسیب‌پذیر هستند. نسخه‌ی v4.0.0-beta.420.7  این مشکل را برطرف کرده است.
 

توصیه‌های امنیتی
•    به‌روزرسانی به آخرین نسخه امن: ارتقاء فوری Coolify به جدیدترین نسخه پایدار منتشرشده و اعمال تمامی اصلاحات امنیتی مرتبط با CVEهای اعلام‌شده.
•    کنترل و محدودسازی دسترسی‌ها: پیاده‌سازی اصل حداقل امتیاز، محدودکردن نقش عضو و اعطای دسترسی مدیریتی صرفاً به کاربران مورد اعتماد.
•    بازنشانی کلیدهای دسترسی: تعویض کلیه کلیدهای SSH و اطلاعات احراز هویت پس از رفع آسیب‌پذیری‌های مرتبط با افشای اطلاعات حساس.
•    اعتبارسنجی ورودی‌ها و خروجی‌ها: پاک‌سازی و اعتبارسنجی کامل ورودی‌های کاربری به‌ویژه در فایل‌های پیکربندی و نام منابع جهت جلوگیری از تزریق دستور و XSS.
•    بازبینی تنظیمات و پیکربندی‌ها: بررسی و اصلاح مخازن، فایل‌های پیکربندی و تنظیمات Docker Compose به‌منظور شناسایی تغییرات غیرمجاز یا مخرب.
•    محدودسازی دسترسی شبکه‌ای: اعمال سیاست‌های فایروال و محدودکردن دسترسی به پنل مدیریتی Coolify صرفاً از شبکه‌های مجاز.
 

منابع

https://nvd.nist.gov/vuln/detail/CVE-2025-64419
https://github.com/coollabsio/coolify/security/advisories/GHSA-234r-xrrg-m8f3
https://nvd.nist.gov/vuln/detail/CVE-2025-64420
https://github.com/coollabsio/coolify/security/advisories/GHSA-qwxj-qch7-whpc
https://nvd.nist.gov/vuln/detail/CVE-2025-64421
https://github.com/coollabsio/coolify/security/advisories/GHSA-4p6r-m39m-9cm9
https://nvd.nist.gov/vuln/detail/CVE-2025-59156
https://github.com/coollabsio/coolify/security/advisories/GHSA-h5xw-7xvp-xrxr
https://nvd.nist.gov/vuln/detail/CVE-2025-59157
https://github.com/coollabsio/coolify/security/advisories/GHSA-5cg9-38qj-8mc3
https://nvd.nist.gov/vuln/detail/CVE-2025-59158
https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf