Impatto Sistemico

Critico (79.35)

Sintesi

Disponibili PoC per lo sfruttamento di 3 vulnerabilità con gravità “critica” in Coolify, piattaforma open-source progettata per consentire il deployment e la gestione di applicazioni, database e servizi in modalità self-hosted.

Tipologia

• Remote Code Execution
• Information Disclosure

Descrizione e potenziali impatti

Sono stati recentemente resi pubblici tre Proof of Concept (PoC) per lo sfruttamento delle CVE-2025-64419, CVE-2025-64420 e CVE-2025-64424 in Coolify.

Nel dettaglio, la CVE-2025-64419 riguarda il processo di build tramite Docker Compose, e potrebbe consentire a utenti malintenzionati di eseguire codice arbitrario tramite un file docker-compose.yml opportunamente predisposto.

La CVE-2025-64420 consentirebbe a utenti con privilegi limitati (ruolo “member”) di visualizzare la chiave privata SSH dell’utente root utilizzata dall’istanza Coolify per la gestione del server locale.

La CVE-2025-64424, infine, riguarda la mancata sanitizzazione dei campi di configurazione sorgente Git di una risorsa. Tramite un payload opportunamente predisposto, un utente malintenzionato potrebbe eseguire codice arbitrario sui sistemi interessati.

Prodotti e/o versioni affette

Coolify, versioni precedenti alla 4.0.0-beta.445

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.