enero 14, 2026
coolify.jpg

8 de enero de 2026Ravie LakshmananVulnerabilidad/Seguridad del contenedor

Los investigadores de ciberseguridad han revelado detalles de varias vulnerabilidades críticas en Coolify, una plataforma de autohospedaje de código abierto, que podrían conducir a la omisión de autenticación y la ejecución remota de código.

La lista de vulnerabilidades es la siguiente:

  • CVE-2025-66209 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos en la funcionalidad de copia de seguridad de la base de datos permite que cualquier usuario autenticado con privilegios de copia de seguridad de la base de datos ejecute comandos arbitrarios en el servidor host, lo que resulta en un escape del contenedor y un compromiso total del servidor.
  • CVE-2025-66210 (Puntuación CVSS: 10.0): una vulnerabilidad autenticada en la función de importación de bases de datos permite a los atacantes ejecutar comandos arbitrarios en servidores administrados, lo que compromete completamente la infraestructura.
  • CVE-2025-66211 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos en el controlador del script de inicio de PostgreSQL permite a los usuarios autenticados con privilegios de base de datos ejecutar comandos arbitrarios como root en el servidor.
  • CVE-2025-66212 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos autenticada en la función de configuración de proxy dinámico permite a los usuarios con privilegios de administración del servidor ejecutar comandos arbitrarios como root en servidores administrados.
  • CVE-2025-66213 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos autenticada en la funcionalidad de montaje del directorio de almacenamiento de archivos permite a los usuarios con privilegios de administración de aplicaciones/servicios ejecutar comandos arbitrarios como root en servidores administrados.
  • CVE-2025-64419 (Puntuación CVSS: 9,7): una vulnerabilidad de inyección de comandos a través de docker-compose.yaml que permite a los atacantes ejecutar comandos arbitrarios del sistema como root en la instancia de Coolify.
  • CVE-2025-64420 (Puntuación CVSS: 10.0): una vulnerabilidad de divulgación de información que permite a los usuarios con pocos privilegios ver la clave privada del usuario raíz en la instancia de Coolify, lo que les permite obtener acceso no autorizado al servidor a través de SSH y autenticarse como usuario raíz usando la clave.
  • CVE-2025-64424 (Puntuación CVSS: 9,4): se encontró una vulnerabilidad de inyección de comandos en los campos de entrada de origen de Git de un recurso que permite a un usuario (miembro) con pocos privilegios ejecutar comandos del sistema como root en la instancia de Coolify.
  • CVE-2025-59156 (Puntuación CVSS: 9,4): una vulnerabilidad de inyección de comandos en el sistema operativo que permite a un usuario con pocos privilegios inyectar declaraciones arbitrarias de Docker Compose y lograr la ejecución de comandos a nivel raíz en el host subyacente.
  • CVE-2025-59157 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos en el sistema operativo que permite a un usuario normal inyectar comandos de shell arbitrarios que se ejecutan en el servidor subyacente utilizando el campo del repositorio de Git durante la implementación.
  • CVE-2025-59158 (Puntuación CVSS: 9,4): una codificación o escape inadecuado de datos que permite a un usuario autenticado y con pocos privilegios realizar un ataque de secuencias de comandos entre sitios (XSS) almacenado durante la creación del proyecto, que se ejecuta automáticamente en el contexto del navegador si un administrador intenta posteriormente eliminar el proyecto o el recurso asociado.
Ciberseguridad

Las siguientes versiones se ven afectadas por los defectos:

  • CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – <= 4.0.0-beta.448 (Behoben in >= 4.0.0-beta.451)
  • CVE-2025-66212, CVE-2025-66213 – <= 4.0.0-beta.450 (Behoben in >= 4.0.0-beta.451)
  • CVE-2025-64419 – < 4.0.0-beta.436 (Behoben in >= 4.0.0-beta.445)
  • CVE-2025-64420, CVE-2025-64424 – <= 4.0.0-beta.434 (estado de corrección poco claro)
  • CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 – <= 4.0.0-beta.420.6 (Corregido en 4.0.0-beta.420.7)
Fuente: Censys

Según la plataforma de gestión de superficies de ataque Censys, al 8 de enero de 2026, había aproximadamente 52.890 hosts Coolify expuestos, la mayoría de ellos en Alemania (15.000), EE. UU. (9.800), Francia (8.000), Brasil (4.200) y Finlandia (3.400).

Si bien no hay evidencia de que las vulnerabilidades hayan sido explotadas aún, es importante que los usuarios actúen rápidamente y apliquen las correcciones lo más rápido posible dada su gravedad.

About The Author

desafiomayor

See author's posts

Related News

mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0
ai-agent.jpg

Desde MCP y acceso a herramientas hasta la expansión de claves de Shadow API

enero 13, 2026 0

You may have missed

GettyImages-872226042.jpg

Ammobia dice que ha reinventado una tecnología centenaria

enero 14, 2026 0
ios-26-2-v3.png

iOS 26.3 podría admitir mensajes RCS cifrados de extremo a extremo en su iPhone

enero 14, 2026 0
jamie-siminoff-GettyImages-2237943588.jpg

El fundador de Ring describe la era de los “asistentes inteligentes” de la empresa de cámaras.

enero 14, 2026 0
cb32f98e-492c-43cd-8d19-5f49107b6d02.jpeg

Taiwán emite orden de arresto contra el director ejecutivo de OnePlus, Pete Lau

enero 14, 2026 0
GettyImages-1369564450.jpg

Los médicos creen que la IA tiene un lugar en la atención sanitaria, pero quizás no como chatbot

enero 14, 2026 0
watch-duty-app-map-cali.jpg

Seguridad en el hogar y en incendios forestales combinada: la asociación Watch Duty de Ring y lo que significa

enero 14, 2026 0