Root-Zugriff möglich: Kritische Coolify-Lücken gefährden 14.000 deutsche Server
In der Self-Hosting-Plattform Coolify klaffen drei kritische Sicherheitslücken, die es Angreifern ermöglichen, mit erhöhten Rechten eigenen Code zur Ausführung zu bringen. Scans der Sicherheitsforscher von Censys(öffnet im neuen Fenster) zeigen, dass weltweit potenziell über 50.000 Instanzen betroffen sind – die meisten davon in Deutschland. Administratoren sollten dringend handeln, um ihre Systeme zu schützen.
Bei den besagten Sicherheitslücken handelt es sich um CVE-2025-64419(öffnet im neuen Fenster) , CVE-2025-64420(öffnet im neuen Fenster) und CVE-2025-64424(öffnet im neuen Fenster) . Die CVSS-Werte liegen durchweg zwischen 9,4 und 9,9, so dass jede der drei Lücken als kritisch eingestuft ist.
Hinweise auf eine aktive Ausnutzung gibt es bisher nicht. Da auf Github aber bereits technische Details und Exploit-Code öffentlich verfügbar sind, dürfte das Aufkommen entsprechender Attacken nur eine Frage der Zeit sein.
Die Lücken im Detail
Durch CVE-2025-64419(öffnet im neuen Fenster) kann ein Angreifer dem Docker-Compose-Build-Pack bösartige Befehle unterschieben, die auf dem Zielsystem mit Root-Rechten ausgeführt werden. Dafür muss ein Coolify-Nutzer lediglich dazu verleitet werden, ein Repository mit speziell gestalteten Parametern in einer docker-compose.yaml zu nutzen und daraus eine Anwendung zu erstellen.
Mit CVE-2025-64420(öffnet im neuen Fenster) kann ein Angreifer mit einfachen Benutzerrechten einen privaten SSH-Schlüssel auslesen. Letzterer ermöglicht anschließend einen Fernzugriff auf das Betriebssystem der jeweiligen Coolify-Instanz, der ebenfalls mit Root-Rechten einhergeht.
CVE-2025-64424(öffnet im neuen Fenster) klafft derweil laut Schwachstellenbeschreibung in den Git-Source-Eingabefeldern. Dort getätigte Eingaben werden nicht angemessen bereinigt, so dass Nutzer mit einfachen Zugriffsrechten auf einem anfälligen Server Systembefehle als Root absetzen können.
Deutschland auf Platz 1
Die Scans von Censys zeigen, dass es allein in Deutschland 14.807 exponierte und potenziell angreifbare Coolify-Instanzen gibt. Im Ländervergleich reicht dies für den ersten Platz. Danach folgen die USA (9.741), Frankreich (7.942), Brasilien (4.174), Finnland (3.350), Indien (2.308), das Vereinigte Königreich (1.214) und Singapur (1.178). Weltweit gelten 52.650 Systeme als potenziell angreifbar. Das entspricht fast 15 Prozent der über 350.000 Instanzen, die es laut Coolify(öffnet im neuen Fenster) aktuell gibt.
Für CVE-2025-64419 steht ab der Coolify-Version 4.0.0-beta.445 ein Patch bereit. Bei den übrigen beiden Lücken ist der Patch-Status nach Angaben der Censys-Forscher noch unklar. Auf Github werden zu allen drei Lücken noch keine gepatchten Versionen genannt. Administratoren sollten betroffene Systeme also gegebenenfalls besser vorerst vom Netz nehmen oder den Zugriff anderweitig einschränken, um die Angriffsfläche zu minimieren.