一、 漏洞 CVE-2025-22608 基础信息
漏洞标题
Coolify 任意团队邀请撤销漏洞(DOS)
来源:AIGC 神龙大模型
漏洞描述信息
Coolify 是一个开源且可自托管的工具,用于管理服务器、应用程序和数据库。在 4.0.0-beta.361 版本之前,由于缺少授权验证,任何经过身份验证的用户只需提供一个可预测且递增的 ID,就可以撤销 Coolify 实例上的任何团队邀请,从而导致拒绝服务攻击(DOS)。该问题已在 4.0.0-beta.361 版本中得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Coolify Vulnerable to Revocation of Arbitrary Team Invitations (DOS)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Prior to version 4.0.0-beta.361, the missing authorization allows any authenticated user to revoke any team invitations on a Coolify instance by only providing a predictable and incrementing ID, resulting in a Denial-of-Service attack (DOS). Version 4.0.0-beta.361 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Coolify 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Coolify是coolLabs开源的一个开源和自托管的 Heroku/Netlify/Vercel 替代品。 Coolify 4.0.0-beta.361版本之前存在安全漏洞,该漏洞源于缺少授权,任何经过身份验证的用户只需提供可预测的递增ID,即可撤销实例上的任何团队邀请,从而导致拒绝服务攻击(DOS)。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22608 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-22608 的情报信息
-
标题: Revoke Arbitrary Team Invitations (DOS) · Advisory · coollabsio/coolify · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2025-22608