CVE-2026-12815: inyección de comandos en Coolify 4.0.0
Resumen rápido
Se ha identificado una vulnerabilidad de inyección de comandos del sistema operativo en el componente Image Name Handler de Coolify 4.0.0, accesible de forma remota con privilegios bajos. El vendedor no respondió a la notificación responsable, aunque la versión 4.1.2 incorpora mejoras en la validación de entradas. La puntuación CVSS es de 6.3 (MEDIUM).
Inyección de comandos OS en el gestor de nombres de imagen de Coolify
Coolify, la popular plataforma de autoalojamiento de aplicaciones y servicios como alternativa a soluciones PaaS en la nube, presenta una vulnerabilidad de inyección de comandos del sistema operativo registrada como CVE-2026-12815 (CVSS 3.1: 6.3 – MEDIUM).
Descripción técnica
El fallo reside en el componente encargado de procesar nombres de imágenes Docker (Image Name Handler) en Coolify 4.0.0. Una entrada no suficientemente saneada en este punto permite a un atacante autenticado con privilegios reducidos inyectar comandos arbitrarios en el sistema operativo subyacente, ejecutándolos en el contexto del proceso servidor.
Las debilidades asociadas son CWE-77 (neutralización incorrecta de elementos especiales en comandos) y CWE-78 (inyección de comandos OS), dos categorías clásicas cuya explotación puede derivar en acceso no autorizado a datos, modificación de la integridad del sistema o afectación a la disponibilidad del servicio.
El vector de ataque es remoto, sin necesidad de interacción del usuario ni de condiciones de red especiales (AV:N/AC:L/PR:L/UI:N), lo que facilita la explotación automatizada una vez se dispone de credenciales válidas de bajo nivel.
Estado del parche y respuesta del vendedor
La investigación fue notificada al equipo de Coolify siguiendo un proceso de divulgación coordinada, pero el vendedor no proporcionó respuesta en ningún momento. No obstante, las notas de la versión 4.1.2 recogen textualmente "improved image, branch, proxy, and deployment input validation", lo que sugiere que el problema ha sido mitigado en esa rama sin reconocimiento explícito de la vulnerabilidad.
Se recomienda a todos los operadores de instancias Coolify actualizar a 4.1.2 o superior con carácter prioritario. Si la actualización inmediata no es viable, conviene restringir el acceso a la interfaz de administración mediante controles de red o VPN y auditar los permisos de las cuentas con acceso a la gestión de imágenes.
Contexto de riesgo
Coolify se despliega habitualmente en servidores con acceso directo a contenedores y volúmenes de datos de producción. Una explotación exitosa de esta vulnerabilidad podría permitir a un atacante escalar privilegios dentro del host, comprometer otros servicios alojados o exfiltrar secretos almacenados en el entorno de despliegue.
¿Estás cubierto en DefensOps?
DefensOps detecta intentos de explotación de vulnerabilidades de inyección de comandos como CVE-2026-12815 mediante su motor de correlación genérico, disponible desde el plan Essential. Aunque no existe una técnica MITRE ATT&CK asignada específicamente a este CVE, el motor analiza patrones de comportamiento anómalos asociados a ejecución de comandos inesperados en entornos de contenedores y plataformas de despliegue.
Acciones recomendadas en DefensOps:
- Activar alertas de correlación sobre procesos hijos inesperados en servicios web.
- Revisar los registros de actividad de componentes de gestión de imágenes Docker.
- Configurar notificaciones ante intentos de autenticación con cuentas de bajo privilegio seguidos de actividad inusual.
👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps.
Fuente primaria: NVD – CVE-2026-12815
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.