Coolify: Drei kritische Schwachstellen ermöglichen Root-RCE und SSH-Schlüsseldiebstahl

Am 5. Januar 2026 wurden drei schwerwiegende Sicherheitslücken in der Self-Hosting-Plattform Coolify veröffentlicht, die es niedrig privilegierten Nutzern ermöglichen, vollständige Systemkompromittierungen zu erreichen. Die Schwachstellen sind unter den Kennungen CVE-2025-64419, CVE-2025-64420 und CVE-2025-64424 registriert und betreffen mehrere Kernfunktionen der Plattform.

CVE-2025-64419 beschreibt eine Command-Injection-Lücke im Docker-Compose-Build-Pack. Durch unzureichend gefilterte Parameter aus docker-compose-Dateien können Angreifer beliebige Systembefehle mit erhöhten Rechten ausführen, sofern ein Opfer eine Anwendung aus einem vom Angreifer kontrollierten Repository erstellt. Die Schwachstelle erreicht einen CVSS-Score von 9.7 und erlaubt im Erfolgsfall Root-Zugriff.

Mit CVE-2025-64420 wurde eine Informationsleck-Schwachstelle offengelegt, durch die Mitglieder mit niedrigen Rechten Zugriff auf einen privaten SSH-Schlüssel erhalten können. Dadurch ist eine direkte SSH-Authentifizierung auf der Coolify-Instanz und potenziell auf dem zugrunde liegenden Server möglich. GitHub bewertet diese Lücke mit einem CVSS-Score von 9.9.

CVE-2025-64424 betrifft eine weitere Command-Injection-Lücke in den Git-Source-Eingabefeldern. Diese werden ungefiltert in Systemkommandos eingebettet, wodurch Mitglieder beliebige Befehle auf dem Server ausführen können. Die Schwachstelle weist einen CVSS-Score von 9.4 auf.

Für CVE-2025-64419 steht mit Version 4.0.0-beta.445 ein Patch zur Verfügung. Für die beiden weiteren Schwachstellen ist der Patch-Status derzeit unklar. Laut Censys sind weltweit über 52.000 öffentlich erreichbare Coolify-Instanzen exponiert. Aufgrund verfügbarer Proof-of-Concepts und der geringen Angriffshürden gilt eine zeitnahe aktive Ausnutzung als wahrscheinlich.

Related Posts

Telematik als Blackbox: CCC legt Schwächen von E-Rezept und KIM offen

Obwohl das E-Rezept seit Anfang 2025 verpflichtend ist, kommt es regelmäßig zu Ausfällen: Rezepte sind nicht abrufbar, Signaturen hängen, Verbindungen brechen ab. Auf dem 39. Chaos Communication Congress (39C3) wurde deutlich, dass diese Probleme kein Einzelfall, sondern systemisch sind.

Read More

Kritische Livewire-Lücke erlaubt Remote Code Execution in Laravel-Anwendungen

Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Laravel-Framework Livewire offengelegt. Über einen fehleranfälligen Unmarshalling- und Hydration-Mechanismus konnten Angreifer beliebigen PHP-Code auf dem Server ausführen. Die Lücke wurde unter CVE-2025-54068 registriert und betrifft Livewire v3 in großem Umfang.

Read More

USA verlangen Zugriff auf europäische Polizeidaten

Die USA wollen den Verbleib europäischer Staaten im Visa-Waiver-Programm künftig an einen direkten Zugriff auf nationale Polizeidatenbanken knüpfen. Gefordert wird der automatisierte Zugang zu Biometriedaten wie Fingerabdrücken und Gesichtsbildern – nicht nur von Reisenden, sondern auch von Personen, deren Daten bei Polizei- und Grenzbehörden gespeichert sind.

Read More