Inyección de comandos OS en el gestor de nombres de imagen de Coolify

Coolify, la popular plataforma de autoalojamiento de aplicaciones y servicios como alternativa a soluciones PaaS en la nube, presenta una vulnerabilidad de inyección de comandos del sistema operativo registrada como CVE-2026-12815 (CVSS 3.1: 6.3 – MEDIUM).

Descripción técnica

El fallo reside en el componente encargado de procesar nombres de imágenes Docker (Image Name Handler) en Coolify 4.0.0. Una entrada no suficientemente saneada en este punto permite a un atacante autenticado con privilegios reducidos inyectar comandos arbitrarios en el sistema operativo subyacente, ejecutándolos en el contexto del proceso servidor.

Las debilidades asociadas son CWE-77 (neutralización incorrecta de elementos especiales en comandos) y CWE-78 (inyección de comandos OS), dos categorías clásicas cuya explotación puede derivar en acceso no autorizado a datos, modificación de la integridad del sistema o afectación a la disponibilidad del servicio.

El vector de ataque es remoto, sin necesidad de interacción del usuario ni de condiciones de red especiales (AV:N/AC:L/PR:L/UI:N), lo que facilita la explotación automatizada una vez se dispone de credenciales válidas de bajo nivel.

Estado del parche y respuesta del vendedor

La investigación fue notificada al equipo de Coolify siguiendo un proceso de divulgación coordinada, pero el vendedor no proporcionó respuesta en ningún momento. No obstante, las notas de la versión 4.1.2 recogen textualmente "improved image, branch, proxy, and deployment input validation", lo que sugiere que el problema ha sido mitigado en esa rama sin reconocimiento explícito de la vulnerabilidad.

Se recomienda a todos los operadores de instancias Coolify actualizar a 4.1.2 o superior con carácter prioritario. Si la actualización inmediata no es viable, conviene restringir el acceso a la interfaz de administración mediante controles de red o VPN y auditar los permisos de las cuentas con acceso a la gestión de imágenes.

Contexto de riesgo

Coolify se despliega habitualmente en servidores con acceso directo a contenedores y volúmenes de datos de producción. Una explotación exitosa de esta vulnerabilidad podría permitir a un atacante escalar privilegios dentro del host, comprometer otros servicios alojados o exfiltrar secretos almacenados en el entorno de despliegue.


¿Estás cubierto en DefensOps?

DefensOps detecta intentos de explotación de vulnerabilidades de inyección de comandos como CVE-2026-12815 mediante su motor de correlación genérico, disponible desde el plan Essential. Aunque no existe una técnica MITRE ATT&CK asignada específicamente a este CVE, el motor analiza patrones de comportamiento anómalos asociados a ejecución de comandos inesperados en entornos de contenedores y plataformas de despliegue.

Acciones recomendadas en DefensOps:
- Activar alertas de correlación sobre procesos hijos inesperados en servicios web.
- Revisar los registros de actividad de componentes de gestión de imágenes Docker.
- Configurar notificaciones ante intentos de autenticación con cuentas de bajo privilegio seguidos de actividad inusual.

👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps.


Fuente primaria: NVD – CVE-2026-12815