Los investigadores de ciberseguridad han detallado fallas de seguridad de gravedad múltiple que afectan a Coolify, una plataforma de autohospedaje de código abierto. Esto podría provocar una omisión de autenticación o la ejecución remota de código.
Aquí está la lista de vulnerabilidades:
CVE-2025-66209 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos en la función de copia de seguridad de la base de datos permite a un usuario autenticado con privilegios de copia de seguridad de la base de datos ejecutar comandos arbitrarios en el servidor host, lo que resulta en un escape del contenedor y el compromiso de todo el servidor. CVE-2025-66210 (puntuación CVSS: 10.0): una vulnerabilidad de inyección de comando autenticada en la funcionalidad de importación de la base de datos permite a los atacantes ejecutar comandos arbitrarios. CVE-2025-66211 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos en la administración de scripts de inicio de PostgreSQL permite a un usuario autenticado con privilegios de base de datos ejecutar comandos arbitrarios como root en el servidor. CVE-2025-66212 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos autenticada en la función de configuración de proxy dinámico permite a un usuario ejecutar comandos arbitrarios como root en un servidor administrado. Privilegios administrativos del servidor para ejecutar. comandos arbitrarios como raíz CVE-2025-66213 (puntaje CVSS: 10.0) – Vulnerabilidad de inyección de comando autenticada en la función de montaje del directorio de almacenamiento de archivos permite a los usuarios con privilegios administrativos de aplicaciones/servicios ejecutar comandos arbitrarios como raíz en un servidor administrado CVE-2025-64419 (puntuación CVSS: 9.7) – Vulnerabilidad de inyección de comando causada por un atacante en docker-compose.yaml permite la ejecución de comandos arbitrarios del sistema como raíz en una instancia de Coolify CVE-2025-64420 (puntaje CVSS: 10.0): una vulnerabilidad de divulgación de información permite a un usuario con pocos privilegios ver la clave privada del usuario raíz en una instancia de Coolify, obtener acceso no autorizado al servidor a través de SSH y usar esa clave para autenticarse como usuario raíz. CVE-2025-64424 (puntuación CVSS: 9,4): se encuentra una vulnerabilidad de inyección de comandos en el campo de entrada de origen git de un recurso, lo que permite a un usuario (miembro) con pocos privilegios ejecutar comandos del sistema como root en una instancia de Coolify. CVE-2025-59156 (puntuación CVSS: 9,4): la vulnerabilidad de inyección de comandos del sistema operativo permite a los usuarios con pocos privilegios inyectar comandos arbitrarios CVE-2025-59157 (puntuación CVSS: 10.0): la vulnerabilidad de inyección de comandos del sistema operativo permite a los usuarios normales ejecutar shells arbitrarios que se ejecutan en el servidor subyacente utilizando el campo del repositorio de Git durante la implementación. Permite la inyección de comandos CVE-2025-59158 (puntuación CVSS: 9,4): codificación o escape de datos inadecuados. Esto permite a los usuarios autenticados con privilegios bajos realizar ataques de secuencias de comandos entre sitios (XSS) almacenados durante la creación del proyecto. Este ataque se ejecuta automáticamente en el contexto del navegador cuando un administrador intenta posteriormente eliminar el proyecto o sus recursos relacionados.
Las siguientes versiones se verán afectadas por esta deficiencia.
CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – <= 4.0.0-beta.448 (>= corregido en 4.0.0-beta.451) CVE-2025-66212, CVE-2025-66213 – <= 4.0.0-beta.450 (corregido en 4.0.0-beta.451 y superiores) CVE-2025-64419 - < 4.0.0-beta.436 (Corregido con 4.0.0-beta.445 o superior) CVE-2025-64420, CVE-2025-64424 - <= 4.0.0-beta.434 (el estado fijo no está claro) CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 - <= 4.0.0-beta.420.6 (corregido en 4.0.0-beta.420.7)
Fuente: Sensis
Según datos de la plataforma de gestión de superficies de ataque Censys, al 8 de enero de 2026, había aproximadamente 52.890 hosts públicos de Coolify, la mayoría ubicados en Alemania (15.000), Estados Unidos (9.800), Francia (8.000), Brasil (4.200) y Finlandia (3.400).
Aunque no hay evidencia de que estas fallas hayan sido explotadas en la naturaleza, es importante que los usuarios consideren su gravedad y actúen rápidamente para aplicar soluciones lo antes posible.
Source link
