/
Coolify开源托管平台曝出11个严重漏洞可完全攻陷服务器
网络安全研究人员披露了影响开源自托管平台Coolify的多个严重安全漏洞详情,这些漏洞可能导致身份验证绕过和远程代码执行。
漏洞清单如下
CVE-2025-66209(CVSS评分:10.0)- 数据库备份功能中的命令注入漏洞,允许任何具有数据库备份权限的已认证用户在主机服务器上执行任意命令,导致容器逃逸和服务器完全被攻陷。
CVE-2025-66210(CVSS评分:10.0)- 数据库导入功能中的已认证命令注入漏洞,允许攻击者在受管服务器上执行任意命令,导致基础设施完全被攻陷。
CVE-2025-66211(CVSS评分:10.0)- PostgreSQL初始化脚本管理中的命令注入漏洞,允许具有数据库权限的已认证用户以root权限在服务器上执行任意命令。
CVE-2025-66212(CVSS评分:10.0)- 动态代理配置功能中的已认证命令注入漏洞,允许具有服务器管理权限的用户以root权限在受管服务器上执行任意命令。
CVE-2025-66213(CVSS评分:10.0)- 文件存储目录挂载功能中的已认证命令注入漏洞,允许具有应用程序/服务管理权限的用户以root权限在受管服务器上执行任意命令。
CVE-2025-64419(CVSS评分:9.7)- 通过docker-compose.yaml的命令注入漏洞,使攻击者能够以root权限在Coolify实例上执行任意系统命令。
CVE-2025-64420(CVSS评分:10.0)- 信息泄露漏洞,允许低权限用户查看Coolify实例上root用户的私钥,使他们能够通过SSH获得对服务器的未授权访问,并使用该密钥以root用户身份进行认证。
CVE-2025-64424(CVSS评分:9.4)- 在资源的git源输入字段中发现的命令注入漏洞,允许低权限用户(成员)以root权限在Coolify实例上执行系统命令。
CVE-2025-59156(CVSS评分:9.4)- 操作系统命令注入漏洞,允许低权限用户注入任意Docker Compose指令,并在底层主机上实现root级别的命令执行。
CVE-2025-59157(CVSS评分:10.0)- 操作系统命令注入漏洞,允许普通用户通过在部署期间使用Git仓库字段注入在底层服务器上执行的任意shell命令。
CVE-2025-59158(CVSS评分:9.4)- 数据编码或转义不当的漏洞,允许低权限的已认证用户在项目创建过程中进行存储型跨站脚本(XSS)攻击,当管理员稍后尝试删除项目或其关联资源时,该攻击会在浏览器上下文中自动执行。
受影响的版本如下
CVE-2025-66209、CVE-2025-66210、CVE-2025-66211 - <= 4.0.0-beta.448(已在 >= 4.0.0-beta.451中修复)
CVE-2025-66212、CVE-2025-66213 - <= 4.0.0-beta.450(已在 >= 4.0.0-beta.451中修复)
CVE-2025-64419 - < 4.0.0-beta.436(已在 >= 4.0.0-beta.445中修复)
CVE-2025-64420、CVE-2025-64424 - <= 4.0.0-beta.434(修复状态不明确)
CVE-2025-59156、CVE-2025-59157、CVE-2025-59158 - <= 4.0.0-beta.420.6(已在4.0.0-beta.420.7中修复)
根据攻击面管理平台Censys的数据,截至2026年1月8日,约有52,890台暴露的Coolify主机,其中大部分位于德国(15,000台)、美国(9,800台)、法国(8,000台)、巴西(4,200台)和芬兰(3,400台)。
虽然没有迹象表明这些漏洞已被野外利用,但鉴于其严重性,用户必须尽快应用修复程序。
Q&A
Q1:Coolify是什么平台?主要用途是什么?
A:Coolify是一个开源的自托管平台,用户可以在自己的服务器上部署和管理应用程序。它提供了数据库备份、导入、PostgreSQL管理、动态代理配置、文件存储等多种功能。
Q2:这些Coolify漏洞的危害程度有多严重?
A:这些漏洞极其严重,有多个漏洞的CVSS评分达到满分10.0分。攻击者可以通过这些漏洞实现身份验证绕过、远程代码执行、容器逃逸,甚至完全攻陷服务器获得root权限,对整个基础设施构成威胁。
Q3:目前有多少Coolify服务器面临风险?
A:根据Censys平台数据,截至2026年1月8日全球约有52,890台暴露的Coolify主机,主要分布在德国(15,000台)、美国(9,800台)、法国(8,000台)、巴西(4,200台)和芬兰(3,400台)。
0赞好文章,需要你的鼓励
推荐文章
如何根据工作需求选择合适的戴尔AI笔记本电脑
购买笔记本电脑时,用户现在需要了解Copilot+ PC、NPU和本地AI处理等新概念。搭载专用神经处理单元(NPU)的Copilot+ PC能提供至少40 TOPS的AI算力,支持实时字幕翻译、视频通话优化、AI图像编辑等功能,同时提升续航表现。戴尔最新产品线涵盖多种选择:Dell 14 Plus适合学生和通勤族,Dell 16 Plus适合多任务办公用户,XPS 14面向轻度创作者,XPS 16则以31小时超长续航和3.6磅轻薄机身成为内容创作者的旗舰之选。
训练完AI助手,竟然还藏着一把免费的“评分钥匙“?威斯康星大学麦迪逊分校揭秘强化学习的隐藏宝藏
强化学习训练AI时悄悄留下的"进展优势"信号,可作为免费的步骤级评分器,无需额外训练,在多个智能体任务上超越专用奖励模型。
微软量子计算突破遭学界质疑,Majorana芯片成果存疑
圣安德鲁斯大学博士Henry Legg在《自然》杂志发表同行评审论文,对微软拓扑间隙协议(TGP)框架提出质疑,认为该框架在推断Majorana粒子量子态存在方面存在缺陷,且实验数据分析结论可能有误。微软此前宣称将于2029年实现可扩展量子计算机,并推出Majorana 2芯片。对此,微软坚持立场,表示已发表正式反驳并获《自然》收录,对研发路线图充满信心。
阿里巴巴团队打造的“AI图像秘书“:当AI学会主动“补课“,图片生成终于能读懂你的弦外之音
阿里团队推出Qwen-Image-Agent,通过规划、推理、搜索、记忆和反馈五大模块,主动填补用户需求与AI生成所需信息之间的"情境鸿沟",并配套发布IA-Bench评测基准。
2026
01/09
07:54
分享
点赞
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
