Coolify onthult 11 kritieke tekortkomingen die volledige servercompromis op zelfgehoste instances mogelijk maken

Cyberbeveiliging
Coolify onthult 11 kritieke tekortkomingen die volledige servercompromis op zelfgehoste instances mogelijk maken

Cybersecurity-onderzoekers hebben details onthuld van meerdere kritieke beveiligingsfouten die Coolify, een open-source, zelfhostingplatform, treffen, die zouden kunnen resulteren in het omzeilen van authenticatie en het uitvoeren van externe code.

De lijst met kwetsbaarheden is als volgt:

  • CVE-2025-66209 (CVSS-score: 10.0) – Door een kwetsbaarheid voor opdrachtinjectie in de databaseback-upfunctionaliteit kan elke geverifieerde gebruiker met databaseback-upmachtigingen willekeurige opdrachten uitvoeren op de hostserver, wat resulteert in het ontsnappen van containers en het volledig in gevaar brengen van de server
  • CVE-2025-66210 (CVSS-score: 10,0) – Een geverifieerde kwetsbaarheid voor opdrachtinjectie in de database-importfunctionaliteit stelt aanvallers in staat willekeurige opdrachten uit te voeren op beheerde servers, wat leidt tot een volledige inbreuk op de infrastructuur
  • CVE-2025-66211 (CVSS-score: 10.0) – Een kwetsbaarheid voor opdrachtinjectie in het PostgreSQL init-scriptbeheer stelt geverifieerde gebruikers met databasemachtigingen in staat willekeurige opdrachten uit te voeren als root op de server
  • CVE-2025-66212 (CVSS-score: 10.0) – Een geverifieerde kwetsbaarheid voor opdrachtinjectie in de Dynamic Proxy Configuration-functionaliteit stelt gebruikers met serverbeheerrechten in staat willekeurige opdrachten uit te voeren als root op beheerde servers
  • CVE-2025-66213 (CVSS-score: 10.0) – Een geverifieerde kwetsbaarheid voor opdrachtinjectie in de File Storage Directory Mount-functionaliteit stelt gebruikers met machtigingen voor applicatie-/servicebeheer in staat willekeurige opdrachten uit te voeren als root op beheerde servers
  • CVE-2025-64419 (CVSS-score: 9,7) – Een kwetsbaarheid voor opdrachtinjectie via docker-compose.yaml waarmee aanvallers willekeurige systeemopdrachten als root op de Coolify-instantie kunnen uitvoeren
  • CVE-2025-64420 (CVSS-score: 10,0) – Een kwetsbaarheid voor het vrijgeven van informatie waardoor gebruikers met weinig rechten de privésleutel van de rootgebruiker op de Coolify-instantie kunnen bekijken, waardoor ze ongeautoriseerde toegang tot de server kunnen krijgen via SSH en zich kunnen authenticeren als de rootgebruiker met behulp van de sleutel
  • CVE-2025-64424 (CVSS-score: 9.4) – Er is een kwetsbaarheid voor het injecteren van commando’s gevonden in de git-broninvoervelden van een bron, waardoor een gebruiker (lid) met lage rechten systeemopdrachten kan uitvoeren als root op de Coolify-instantie
  • CVE-2025-59156 (CVSS-score: 9,4) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem waardoor een gebruiker met weinig bevoegdheden willekeurige Docker Compose-richtlijnen kan injecteren en opdrachtuitvoering op rootniveau op de onderliggende host kan bewerkstelligen
  • CVE-2025-59157 (CVSS-score: 10,0) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem waardoor een gewone gebruiker willekeurige shell-opdrachten kan injecteren die op de onderliggende server worden uitgevoerd door tijdens de implementatie het veld Git Repository te gebruiken
  • CVE-2025-59158 (CVSS-score: 9,4) – Een onjuiste codering of ontsnapping van de gegevens waardoor een geverifieerde gebruiker met lage rechten een opgeslagen cross-site scripting (XSS)-aanval kan uitvoeren tijdens het maken van een project, die automatisch wordt uitgevoerd in de browsercontext wanneer een beheerder later probeert het project of de bijbehorende bron te verwijderen

De volgende versies worden beïnvloed door de tekortkomingen:

  • CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – <= 4.0.0-beta.448 (opgelost in >= 4.0.0-beta.451)
  • CVE-2025-66212, CVE-2025-66213 – <= 4.0.0-beta.450 (opgelost in >= 4.0.0-beta.451)
  • CVE-2025-64419 – < 4.0.0-bèta.436 (opgelost in >= 4.0.0-bèta.445)
  • CVE-2025-64420, CVE-2025-64424 – <= 4.0.0-beta.434 (Fixstatus onduidelijk)
  • CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 – <= 4.0.0-beta.420.6 (opgelost in 4.0.0-beta.420.7)

Volgens gegevens van het aanvalsbeheerplatform Censys zijn er op 8 januari 2026 ongeveer 52.890 blootgestelde Coolify-hosts, waarvan de meeste zich in Duitsland (15.000), de VS (9.800), Frankrijk (8.000), Brazilië (4.200) en Finland (3.400) bevinden.

Hoewel er geen aanwijzingen zijn dat er misbruik is gemaakt van de fouten, is het essentieel dat gebruikers snel actie ondernemen om de oplossingen zo snel mogelijk toe te passen, gezien de ernst ervan.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Alphabet overtreft Apple in marktwaarde te midden van verschuivende AI-focus

Het beste van CES 2026: Navee UT5 Ultra X

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]