尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| coollabsio | coolify | < 4.0.0-beta.471 | - |
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
未找到公开 POC。
登录以生成 AI POC| CVE-2026-34047 | 9.9 CRITICAL | Coolify WebSocket端点访问控制缺陷导致远程代码执行 |
| CVE-2026-34037 | 9.9 CRITICAL | cloneTo() 方法存在对象级授权漏洞导致跨租户资源克隆 |
| CVE-2026-34048 | 9.9 CRITICAL | Coolify 终端 WebSocket 路由缺少授权允许低权限成员在团队服务器上执行命令 |
| CVE-2026-34158 | 8.8 HIGH | Coolify Docker Compose 自定义命令命令注入漏洞 |
| CVE-2026-42200 | 8.8 HIGH | Coolify PostgreSQL初始化脚本路径遍历致任意文件写入及根RCE漏洞 |
| CVE-2026-34035 | 8.8 HIGH | Coolify 通过日志排水密钥/环境变量注入导致远程代码执行漏洞 |
| CVE-2026-34058 | 8.8 HIGH | Coolify 容器操作远程代码执行漏洞 |
| CVE-2026-34168 | 8.8 HIGH | Coolify 持久化存储名称命令注入漏洞 |
| CVE-2026-34034 | 8.8 HIGH | Coolify 通过Sentinel令牌注入实现主机远程代码执行漏洞 |
| CVE-2026-34152 | 8.8 HIGH | Coolify 预部署命令换行注入漏洞 |
| CVE-2026-42143 | 8.8 HIGH | Coolify 持久卷名 OS 命令注入导致 RCE 漏洞 |
| CVE-2026-34057 | 8.8 HIGH | Coolify 数据库导入功能远程代码执行漏洞 |
| CVE-2026-34171 | 8.0 HIGH | Coolify 通过 CSRF 可重置密码的 GET 端点导致账户接管漏洞 |
| CVE-2026-34044 | 7.7 HIGH | Coolify 日志组件跨团队越权访问漏洞 |
| CVE-2026-42147 | 4.9 MEDIUM | Coolify testConnection()中S3存储端点SSRF漏洞 |
| CVE-2026-34170 | 4.3 MEDIUM | Coolify GitHub App API URL 服务器端请求伪造漏洞 |
| CVE-2026-34149 | 3.3 LOW | Coolify 主机级 RCE 漏洞:备份作业中未转义的数据库凭证 |
| CVE-2026-42201 | 3.3 LOW | Coolify 数据库凭据字段注入漏洞 |
| CVE-2026-42145 | 3.1 LOW | Coolify 数据库备份恢复中文件上传未限制类型和大小 |
| CVE-2026-42172 | 3.1 LOW | Coolify Sanctum API令牌永不过期致永久访问漏洞 |
暂无评论