Am 5. Januar 2026 wurden drei schwerwiegende Sicherheitslücken in der Self-Hosting-Plattform Coolify veröffentlicht, die es niedrig privilegierten Nutzern ermöglichen, vollständige Systemkompromittierungen zu erreichen. Die Schwachstellen sind unter den Kennungen CVE-2025-64419, CVE-2025-64420 und CVE-2025-64424 registriert und betreffen mehrere Kernfunktionen der Plattform.
CVE-2025-64419 beschreibt eine Command-Injection-Lücke im Docker-Compose-Build-Pack. Durch unzureichend gefilterte Parameter aus docker-compose-Dateien können Angreifer beliebige Systembefehle mit erhöhten Rechten ausführen, sofern ein Opfer eine Anwendung aus einem vom Angreifer kontrollierten Repository erstellt. Die Schwachstelle erreicht einen CVSS-Score von 9.7 und erlaubt im Erfolgsfall Root-Zugriff.
Mit CVE-2025-64420 wurde eine Informationsleck-Schwachstelle offengelegt, durch die Mitglieder mit niedrigen Rechten Zugriff auf einen privaten SSH-Schlüssel erhalten können. Dadurch ist eine direkte SSH-Authentifizierung auf der Coolify-Instanz und potenziell auf dem zugrunde liegenden Server möglich. GitHub bewertet diese Lücke mit einem CVSS-Score von 9.9.
CVE-2025-64424 betrifft eine weitere Command-Injection-Lücke in den Git-Source-Eingabefeldern. Diese werden ungefiltert in Systemkommandos eingebettet, wodurch Mitglieder beliebige Befehle auf dem Server ausführen können. Die Schwachstelle weist einen CVSS-Score von 9.4 auf.
Für CVE-2025-64419 steht mit Version 4.0.0-beta.445 ein Patch zur Verfügung. Für die beiden weiteren Schwachstellen ist der Patch-Status derzeit unklar. Laut Censys sind weltweit über 52.000 öffentlich erreichbare Coolify-Instanzen exponiert. Aufgrund verfügbarer Proof-of-Concepts und der geringen Angriffshürden gilt eine zeitnahe aktive Ausnutzung als wahrscheinlich.
