coollabsio coolify bis 4.0.0-beta.463 /api/v1/deployments teamId erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.5$0-$5k0.65

Zusammenfassunginfo

In coollabsio coolify bis 4.0.0-beta.463 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei /api/v1/deployments. Durch Beeinflussen des Arguments teamId mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2026-27883 gehandelt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

In coollabsio coolify bis 4.0.0-beta.463 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Es geht um unbekannter Code der Datei /api/v1/deployments. Durch das Beeinflussen des Arguments teamId mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-639. Auswirkungen hat dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to 4.0.0-beta.464, the `GET /api/v1/deployments/{uuid}` endpoint allows any authenticated user to access deployment details belonging to any team, bypassing team-based authorization. The $teamId is extracted from the authentication token but never used to scope the database query. This vulnerability is fixed in 4.0.0-beta.464.

Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 24.02.2026 als CVE-2026-27883 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Ein Aktualisieren auf die Version 4.0.0-beta.464 vermag dieses Problem zu lösen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produktinfo

Hersteller

Name

Version

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.6
VulDB Meta Temp Score: 4.5

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.0
CNA Vector (GitHub_M): 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-639 / CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: coolify 4.0.0-beta.464

Timelineinfo

24.02.2026 CVE zugewiesen
30.06.2026 +125 Tage Advisory veröffentlicht
30.06.2026 +0 Tage VulDB Eintrag erstellt
30.06.2026 +0 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: github.com

Advisory: GHSA-f6h4-qx26-76jv
Status: Bestätigt

CVE: CVE-2026-27883 (🔒)
GCVE (CVE): GCVE-0-2026-27883
GCVE (VulDB): GCVE-100-374845

Eintraginfo

Erstellt: 30.06.2026 17:40
Anpassungen: 30.06.2026 17:40 (65)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!