Sieben kritische Sicherheitslücken mit Höchstwertung bedrohen Coolify
Die Self-Hosting-Plattform Coolify ist schwer verwundbar. In Deutschland gibt es Sicherheitsforschern zufolge fast 15.000 angreifbare Instanzen.
(Bild: Black_Kira / Shutterstock.com)
Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.
Scans von Sicherheitsforschern von Censys zeigen, dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.
Ansatzpunkte für Angreifer
Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.
Fehlende Sicherheitspatches
Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.
Videos by heise
Diese Patches sind zurzeit verfügbar:
- v4.0.0-beta.420.7
- >= 4.0.0-beta.451
Mittlerweile sind weitere Sicherheitspatches verfügbar. Die unten stehende Liste wurde aktualisiert.
Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
- Authenticated Remote Code Execution via Command Injection in PostgreSQL Init Script Filename
- Git Repository RCE in Coolify
- Authenticated Remote Code Execution via Command Injection in File Storage Directory Mount Path
- Authenticated Remote Code Execution via Command Injection in Database Import
- Members can see private key of root user (laut Eintrag derzeit kein Patch verfügbar)
- Authenticated Remote Code Execution via Command Injection in Dynamic Proxy Configuration Filename
- Authenticated Remote Code Execution via Command Injection in Database Backup
- Command injection via docker-compose.yaml parameters
- Command injection in project git source (laut Eintrag derzeit kein Patch verfügbar)
- Docker Compose Injection in Coolify
- Stored XSS in Project Name
- Privilege escalation - Low privileged user can invite themselves as an admin user (laut Eintrag derzeit kein Patch verfügbar)
- Host header injection in forgot password
- Privilege Escalation - low privileged users can see and use admin invitation links (laut Eintrag derzeit kein Patch verfügbar)
- Sensitive information `email_change_code` leaked in `/api/v1/teams/{team_id | current}/members` API endpoint
- Rate-limit bypass on login via X-Forwarded-Host header
(des)
