Kritische Sicherheitslücken in Coolify

Das IT-Sicherheitsunternehmen Censys veröffentlichte am 6. Januar 2025 eine Warnmeldung zu den folgenden drei kritischen Sicherheitslücken in verschiedenen Versionen der Software Coolify:

• CVE-2025-64419 (EUVD-2025-206244) mit einem CVSS-Score von 9.7/10 ermöglicht Angreifenden unter bestimmten Umständen Remote Code Execution (RCE).
• CVE-2025-64420 (EUVD-2025-206245) mit einem CVSS-Score von 10/10 ermöglicht Angreifenden, Root-Rechte zu erlangen.
• CVE-2025-64424 (EUVD-2025-206232) mit einem CVSS-Score von 9.7/10 ermöglicht Angreifenden, Systembefehle auszuführen.

Neben den von Censys genannten Schwachstellen sind aktuell noch die 13 folgenden Sicherheitslücken in verschiedenen Coolify-Versionen bekannt, wovon 8 als "kritisch" eingestuft sind:

• CVE-2025-59156 (EUVD-2025-206241)
• CVE-2025-59157 (EUVD-2025-206243)
• CVE-2025-59158 (EUVD-2025-206246)
• CVE-2025-59955 (EUVD-2025-206247)
• CVE-2025-64421 (EUVD-2025-206239)
• CVE-2025-64422 (EUVD-2025-206238)
• CVE-2025-64423 (EUVD-2025-206231)
• CVE-2025-64425 (EUVD-2025-206233)
• CVE-2025-66209 (EUVD-2025-204961)
• CVE-2025-66210 (EUVD-2025-204958)
• CVE-2025-66211 (EUVD-2025-204957)
• CVE-2025-66212 (EUVD-2025-204955)
• CVE-2025-66213 (EUVD-2025-204954)

Weitere Informationen zu diesen Schwachstellen wie die CVSS-Scores und die Auswirkungen finden Sie auf der unten aufgeführten GitHub-Seite verlinkt.

Die Beta-Version v4.0.0-beta.460 vom 7. Januar 2026 soll laut Censys alle 16 Lücken schließen.

Coolify ist ein Self-Hosting-Service für Docker-Container-Anwendungen.

• Installieren Sie umgehend die Version v4.0.0-beta.460 von Coolify.
• Prüfen Sie Ihre Systeme dennoch auf Auffälligkeiten, da nicht gesichert ist, dass die Beta-Version die oben genannten Lücken vollständig behebt.