Coolify CVE-Übersicht 2025/2026: Kritische Sicherheitslücken und Update-Pflicht
Sie betreiben Coolify und benötigen Unterstützung beim sicheren Betrieb oder Update? WZ-IT bietet Coolify Installation, Wartung und Security-Hardening an. Vereinbaren Sie ein kostenloses Gespräch: Termin vereinbaren.
Coolify ist als Self-Hosted PaaS-Plattform eine beliebte Alternative zu Heroku, Netlify oder Vercel. Die Plattform orchestriert Deployments und Server-Automation – und genau das macht die aktuellen Sicherheitslücken so kritisch: Coolify führt naturgemäß privilegierte Operationen aus, oft mit root-Rechten auf dem Host-System.
Laut Daten der Attack Surface Management Plattform Censys sind Stand 8. Januar 2026 weltweit 52.890 Coolify-Instanzen öffentlich erreichbar. Deutschland führt diese Statistik mit 15.000 exponierten Hosts an, gefolgt von den USA (9.800), Frankreich (8.000), Brasilien (4.200) und Finnland (3.400).
Bisher sind keine aktiven Angriffe bekannt. Angesichts der Schwere der Lücken – mehrere CVEs mit CVSS-Score 10.0 – ist ein sofortiges Update auf mindestens Version 4.0.0-beta.451 jedoch dringend empfohlen.
Inhaltsverzeichnis
- Kritisch: RCE & Command Injection
- Account Takeover & Privilege Escalation
- Information Disclosure / Secret Leakage
- Client-Side: Stored XSS
- Ältere relevante CVEs (2025)
- Betroffene Versionen im Überblick
- Typische Angriffsketten
- Hardening- und Mitigation-Hinweise
- Unser Vorgehen bei WZ-IT
Kritisch: RCE & Command Injection
Diese CVEs sind besonders kritisch, weil Benutzereingaben unsanitized in Shell-Kommandos landen – mit Remote Code Execution bis root als Ergebnis.
| CVE | Schwachstelle | Angriffsvektor | Impact | Betroffene Versionen | Fix |
|---|---|---|---|---|---|
| CVE-2025-66209 | Command Injection in Database Backup (DB-Name unsanitized) | Remote, authentifiziert, DB-Backup-Rechte | RCE als root auf managed servers | < 4.0.0-beta.451 | 4.0.0-beta.451 |
| CVE-2025-66210 | Command Injection in Database Import | Remote, authentifiziert, App/Service-Management-Rechte | RCE als root | < 4.0.0-beta.451 | 4.0.0-beta.451 |
| CVE-2025-66211 | Command Injection über PostgreSQL Init Script Filename | Remote, authentifiziert, DB-Rechte | RCE als root | < 4.0.0-beta.451 | 4.0.0-beta.451 |
| CVE-2025-66212 | Command Injection über Dynamic Proxy Configuration Filename | Remote, authentifiziert, Server-Management-Rechte | RCE als root | < 4.0.0-beta.451 | 4.0.0-beta.451 |
| CVE-2025-66213 | Command Injection über File Storage Directory Mount Path | Remote, authentifiziert, App/Service-Management-Rechte | RCE als root | < 4.0.0-beta.451 | 4.0.0-beta.451 |
| CVE-2025-64419 | Unsanitized Parameter aus docker-compose.yaml | Supply-Chain: Opfer erstellt App aus Angreifer-Repo | Commands als root | < 4.0.0-beta.445 | 4.0.0-beta.445 |
| CVE-2025-64424 | Command Injection in Git-Source Input-Feldern | Remote, authentifiziert, low-priv Member | RCE als root | ≤ 4.0.0-beta.434 | Gepatcht |
| CVE-2025-59156 | Docker-Compose Directive Injection (Host-FS mount) | Remote, authentifiziert, low-priv Member | Root-Level RCE auf Host | < 4.0.0-beta.420.7 | 4.0.0-beta.420.7 |
| CVE-2025-59157 | Command Injection im Git Repository Feld | Remote, authentifiziert, Member | RCE im Deployment-Kontext | < 4.0.0-beta.420.7 | 4.0.0-beta.420.7 |
Kern-Problem: Mehrere unabhängige Stellen im Code (DB-Backup/Import, Proxy-Konfiguration, Storage-Mounts, Git-Felder, Compose) implementieren das Muster "User-Input → Shell" ohne ausreichende Validierung.
Account Takeover & Privilege Escalation
Diese CVEs sind besonders relevant für Multi-User-Setups oder wenn Sie Nutzer einladen, denen Sie nicht vollständig vertrauen.
| CVE | Schwachstelle | Angriffsvektor | Impact | Betroffene Versionen | Fix |
|---|---|---|---|---|---|
| CVE-2025-64421 | Invite-Flow: Member kann sich als Admin einladen | Remote, authentifiziert, low-priv Member | Privilege Escalation → Admin | ≤ 4.0.0-beta.434 | Gepatcht |
| CVE-2025-64423 | Member kann Admin-Invitation-Links einsehen | Remote, authentifiziert, low-priv Member | Privilege Escalation → Admin | ≤ 4.0.0-beta.434 | Gepatcht |
| CVE-2025-64425 | Host-Header Injection im Password-Reset | Remote, ohne Auth, User-Interaktion nötig | Account Takeover via Reset-Token | ≤ 4.0.0-beta.434 | Gepatcht |
| CVE-2025-64422 | Rate-Limit Bypass bei /login via X-Forwarded-For |
Remote, unauth, Brute Force möglich | Erhöhtes Risiko Account-Kompromittierung | ab 4.0.0-beta.434 | Gepatcht |
Information Disclosure / Secret Leakage
| CVE | Schwachstelle | Angriffsvektor | Impact | Betroffene Versionen | Fix |
|---|---|---|---|---|---|
| CVE-2025-64420 | Low-priv User kann private Key des root-Users einsehen | Remote, authentifiziert, low-priv | SSH als root → vollständige Kompromittierung | ≤ 4.0.0-beta.434 | Gepatcht |
| CVE-2025-59955 | API leak: email_change_code über Team-Member-Endpoints |
Remote, authentifiziert, Team-Mitglied | Unautorisierter Email-Change möglich | ≤ 4.0.0-beta.420.8 | Unklar |
Client-Side: Stored XSS
| CVE | Schwachstelle | Angriffsvektor | Impact | Betroffene Versionen | Fix |
|---|---|---|---|---|---|
| CVE-2025-59158 | Stored XSS via Project Name | Remote, authentifiziert, low-priv Member, Admin führt Löschaktion aus | Session-Hijacking im Admin-Kontext | ≤ 4.0.0-beta.420.6 | 4.0.0-beta.420.7 |
Ältere relevante CVEs (2025)
Diese CVEs sind nicht mehr ganz aktuell, treffen aber dieselbe Grundklasse: fehlende Autorisierung bei sensiblen Operationen.
| CVE | Schwachstelle | Impact | Betroffene Versionen | Fix |
|---|---|---|---|---|
| CVE-2025-22609 | Auth-User kann existing private key an eigene Server-Config hängen | Kann in RCE/Server-Kompromittierung münden | < 4.0.0-beta.361 | 4.0.0-beta.361 |
| CVE-2025-22611 | Auth-User kann Rollen (bis Owner) eskalieren / andere entfernen | Privilege Escalation, Kontrolle über Team/Instanz | < 4.0.0-beta.361 | 4.0.0-beta.361 |
| CVE-2025-22612 | Auth-User kann private keys im Klartext auslesen | Secret Leakage → Server-Kompromittierung | < 4.0.0-beta.374 | 4.0.0-beta.374 |
Betroffene Versionen im Überblick
| Version | Status |
|---|---|
| < 4.0.0-beta.361 | Kritisch – fehlende Autorisierung bei Keys/Rollen |
| < 4.0.0-beta.374 | Kritisch – Private Key Leakage |
| < 4.0.0-beta.420.7 | Kritisch – Compose Injection, Git-Repo Injection, XSS |
| < 4.0.0-beta.445 | Kritisch – docker-compose.yaml Command Injection |
| < 4.0.0-beta.451 | Kritisch – 5× Command Injection (DB, Proxy, Storage) |
| ≥ 4.0.0-beta.451 | Empfohlen – alle bekannten kritischen CVEs gepatcht |
Typische Angriffsketten
Ohne Exploit-Details zu nennen, folgen Angriffe typischerweise diesem Muster:
- Initial Access: Angreifer erhält low-priv Zugang (Member) oder nutzt Auth-Flow-Schwäche (Invite/Reset/Bruteforce)
- Privilege Escalation / RCE: Aus Member-Kontext wird über Command Injection oder Compose-Injection root Code Execution
- Lateral Movement/Impact: Zugriff auf Keys/Host/SSH → Kompromittierung weiterer Systeme
Hardening- und Mitigation-Hinweise
Patch/Upgrade (Priorität 1)
Upgrade auf ≥ 4.0.0-beta.451 ist der wichtigste Schritt. Diese Version behebt:
- Alle 5 kritischen Command Injection CVEs (66209-66213)
- docker-compose.yaml Parameter-Issue (64419)
- Compose-/Git-Repo-Injection & Stored XSS (59156/59157/59158)
Defense-in-Depth (für Multi-User-Setups)
- RBAC restriktiv konfigurieren: Member-Rechte minimal halten; App/Service-Management nur vertrauenswürdigen Rollen zuweisen
- Einladungs-/Reset-Flows absichern: Striktes Link-Handling, Host-Header-Validierung, Logging/Alerting
- Bruteforce-Resilienz: Rate-Limits serverseitig über Reverse Proxy/WAF erzwingen
- Key Hygiene: Private Keys rotieren, root-SSH minimieren, getrennte Keys pro Server/Team
Netzwerk-Ebene
- Coolify-Admin-Interface nicht öffentlich exponieren
- Zugriff über VPN oder IP-Whitelist beschränken
- Monitoring für ungewöhnliche API-Calls einrichten
Unser Vorgehen bei WZ-IT
Bei WZ-IT unterstützen wir Unternehmen beim sicheren Betrieb von Coolify:
- Security Audit: Prüfung Ihrer bestehenden Coolify-Installation auf bekannte Schwachstellen
- Managed Updates: Regelmäßige, getestete Updates ohne Downtime
- Hardening: RBAC-Konfiguration, Netzwerk-Segmentierung, Monitoring
- Installation: Sichere Neuinstallation mit Best Practices
Mehr zu unseren Coolify-Services: Coolify Expertise | Installation & Einrichtung
Weiterführende Ressourcen
- Coolify: Next.js-App in 4 Schritten deployen – Unser Einführungs-Guide
- Coolify Expertise bei WZ-IT – Überblick über unsere Services
- Coolify Installation & Einrichtung – On-Premise, Cloud & Hybrid
Fazit: Coolify ist ein mächtiges Tool für Self-Hosted Deployments – aber mit großer Macht kommt große Verantwortung. Die aktuellen CVEs zeigen, dass gerade bei Orchestrierungsplattformen konsequentes Patching unverzichtbar ist. Update auf ≥ 4.0.0-beta.451 und prüfen Sie Ihre RBAC-Konfiguration.
Benötigen Sie Unterstützung beim Update oder Security-Hardening Ihrer Coolify-Instanz? Sprechen Sie uns an – wir helfen Ihnen gerne.
Häufig gestellte Fragen
Antworten auf wichtige Fragen zu diesem Thema
Aktuell sollte mindestens Version 4.0.0-beta.451 verwendet werden. Diese Version behebt alle kritischen Command Injection CVEs (CVE-2025-66209 bis CVE-2025-66213). Für ältere CVEs sind bereits Patches in früheren Versionen verfügbar.
Die meisten CVEs erfordern Authentifizierung, können aber bereits mit niedrigen Rechten (Member-Rolle) ausgenutzt werden. Einige, wie der Host-Header-Injection-Bug (CVE-2025-64425), sind ohne Authentifizierung ausnutzbar, erfordern aber User-Interaktion.
Die Command Injection CVEs (CVE-2025-66209 bis CVE-2025-66213) haben alle einen CVSS-Score von 10.0 und ermöglichen Remote Code Execution als root auf dem Host-System. Ein authentifizierter Angreifer kann damit die komplette Server-Infrastruktur übernehmen.
Stand Januar 2026 sind keine aktiven Exploits in freier Wildbahn bekannt. Angesichts der Schwere der Lücken (CVSS 10.0) und der 52.890 öffentlich erreichbaren Instanzen weltweit ist ein Update jedoch dringend empfohlen.
Lassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee – wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Vertraut von führenden Unternehmen
Timo Wevelsiep & Robin Zins
Geschäftsführer