Coolify révèle 11 failles critiques qui permettent une compromission complète du serveur sur les instances auto-hébergées

Coolify révèle 11 failles critiques qui permettent une compromission complète du serveur sur les instances auto-hébergées

Written by on in Cybersecurité

8 janvier 2026Ravie LakshmananVulnérabilité/sécurité des conteneurs

Coolify révèle 11 failles critiques qui permettent une compromission complète du serveur sur les instances auto-hébergées

Les chercheurs en cybersécurité ont révélé les détails de plusieurs failles de sécurité de gravité critique affectant Coolify, une plate-forme d'auto-hébergement open source, qui pourraient entraîner un contournement de l'authentification et l'exécution de code à distance.

La liste des vulnérabilités est la suivante :

  • CVE-2025-66209 (Score CVSS : 10,0) – Une vulnérabilité d'injection de commandes dans la fonctionnalité de sauvegarde de base de données permet à tout utilisateur authentifié disposant d'autorisations de sauvegarde de base de données d'exécuter des commandes arbitraires sur le serveur hôte, ce qui entraîne une fuite du conteneur et une compromission complète du serveur.
  • CVE-2025-66210 (Score CVSS : 10,0) – Une vulnérabilité d'injection de commandes authentifiées dans la fonctionnalité d'importation de base de données permet aux attaquants d'exécuter des commandes arbitraires sur les serveurs gérés, compromettant ainsi l'ensemble de l'infrastructure.
  • CVE-2025-66211 (Score CVSS : 10,0) – Une vulnérabilité d'injection de commandes dans la gestion du script de démarrage PostgreSQL permet aux utilisateurs authentifiés disposant d'autorisations de base de données d'exécuter des commandes arbitraires en tant que root sur le serveur.
  • CVE-2025-66212 (Score CVSS : 10,0) – Une vulnérabilité d'injection de commandes authentifiées dans la fonctionnalité de configuration de proxy dynamique permet aux utilisateurs disposant d'autorisations d'administration de serveur d'exécuter des commandes arbitraires en tant qu'utilisateur root sur des serveurs gérés.
  • CVE-2025-66213 (Score CVSS : 10,0) – Une vulnérabilité d'injection de commandes authentifiées dans la fonctionnalité de montage du répertoire de stockage de fichiers permet aux utilisateurs disposant d'autorisations d'administration d'applications/services d'exécuter des commandes arbitraires en tant que root sur les serveurs gérés.
  • CVE-2025-64419 (Score CVSS : 9,7) – Une vulnérabilité d'injection de commandes via docker-compose.yaml permet aux attaquants d'exécuter des commandes système arbitraires en tant que root sur l'instance Coolify.
  • CVE-2025-64420 (Score CVSS : 10,0) – Une vulnérabilité de divulgation d'informations permet aux utilisateurs peu privilégiés d'afficher la clé privée de l'utilisateur root sur l'instance Coolify, leur permettant ainsi d'obtenir un accès non autorisé au serveur via SSH et de s'authentifier en tant qu'utilisateur root à l'aide de la clé.
  • CVE-2025-64424 (Score CVSS : 9,4) – Une vulnérabilité d'injection de commandes a été trouvée dans les champs de saisie source git d'une ressource, permettant à un utilisateur (membre) peu privilégié d'exécuter des commandes système en tant que root sur l'instance Coolify.
  • CVE-2025-59156 (Score CVSS : 9,4) – Une vulnérabilité d'injection de commandes du système d'exploitation qui permet à un utilisateur peu privilégié d'injecter des politiques Docker Compose arbitraires et d'exécuter des commandes au niveau racine sur l'hôte sous-jacent.
  • CVE-2025-59157 (Score CVSS : 10,0) – Une vulnérabilité d'injection de commandes du système d'exploitation qui permet à un utilisateur normal d'injecter des commandes shell arbitraires qui sont exécutées sur le serveur sous-jacent à l'aide du champ Git Repository pendant le déploiement.
  • CVE-2025-59158 (Score CVSS : 9,4) – Cryptage inapproprié ou fuite de données qui permet à un utilisateur authentifié avec de faibles privilèges de mener une attaque de script intersite (XSS) stockée lors de la création d'un projet qui s'exécute automatiquement dans le contexte du navigateur lorsqu'un administrateur tente ensuite de supprimer le projet ou sa ressource associée.
Cybersécurité

Les versions suivantes sont affectées par les déficiences :

  • CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 -=4.0.0-bêta.451)
  • CVE-2025-66212, CVE-2025-66213 -=4.0.0-bêta.451)
  • CVE-2025-64419 -=4.0.0-bêta.445)
  • CVE-2025-64420, CVE-2025-64424
  • CVE-2025-59156, CVE-2025-59157, CVE-2025-59158
Source : Censys

Selon les données de la plateforme de gestion des surfaces d'attaque Censys, environ 52 890 hôtes Coolify étaient exposés au 8 janvier 2026, la majorité d'entre eux étant situés en Allemagne (15 000), aux États-Unis (9 800), en France (8 000), au Brésil (4 200) et en Finlande (3 400).

Bien que rien n'indique que l'une des failles ait été exploitée à l'état sauvage, il est essentiel que les utilisateurs agissent rapidement pour appliquer les correctifs le plus rapidement possible compte tenu de leur gravité.

Source link