Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về nhiều lỗ hổng bảo mật mức độ nghiêm trọng critical ảnh hưởng đến Coolify, một nền tảng tự lưu trữ mã nguồn mở, có thể dẫn đến việc vượt qua xác thực (authentication bypass) và thực thi mã từ xa (remote code execution).
Danh sách các lỗ hổng như sau -
- CVE-2025-66209 (điểm CVSS: 10.0) - Lỗ hổng command injection trong chức năng sao lưu cơ sở dữ liệu cho phép bất kỳ người dùng đã xác thực nào có quyền sao lưu cơ sở dữ liệu thực thi các lệnh tùy ý trên máy chủ lưu trữ, dẫn đến container escape và chiếm quyền kiểm soát toàn bộ máy chủ.
- CVE-2025-66210 (điểm CVSS: 10.0) - Lỗ hổng command injection đã xác thực trong chức năng nhập cơ sở dữ liệu cho phép kẻ tấn công thực thi các lệnh tùy ý trên các máy chủ được quản lý, dẫn đến chiếm quyền kiểm soát toàn bộ hạ tầng.
- CVE-2025-66211 (điểm CVSS: 10.0) - Lỗ hổng command injection trong quản lý script khởi tạo PostgreSQL cho phép người dùng đã xác thực có quyền cơ sở dữ liệu thực thi các lệnh tùy ý với quyền root trên máy chủ.
- CVE-2025-66212 (điểm CVSS: 10.0) - Lỗ hổng command injection đã xác thực trong chức năng Cấu hình Proxy Động (Dynamic Proxy Configuration) cho phép người dùng có quyền quản lý máy chủ thực thi các lệnh tùy ý với quyền root trên các máy chủ được quản lý.
- CVE-2025-66213 (điểm CVSS: 10.0) - Lỗ hổng command injection đã xác thực trong chức năng Gắn Kết Thư Mục Lưu Trữ Tệp (File Storage Directory Mount) cho phép người dùng có quyền quản lý ứng dụng/dịch vụ thực thi các lệnh tùy ý với quyền root trên các máy chủ được quản lý.
- CVE-2025-64419 (điểm CVSS: 9.7) - Lỗ hổng command injection thông qua
docker-compose.yamlcho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý với quyền root trên phiên bản Coolify. - CVE-2025-64420 (điểm CVSS: 10.0) - Lỗ hổng tiết lộ thông tin (information disclosure) cho phép người dùng có đặc quyền thấp xem khóa riêng (private key) của người dùng root trên phiên bản Coolify, cho phép họ giành quyền truy cập trái phép vào máy chủ thông qua SSH và xác thực với tư cách người dùng root bằng khóa đó.
- CVE-2025-64424 (điểm CVSS: 9.4) - Lỗ hổng command injection được tìm thấy trong các trường nhập nguồn git của một tài nguyên, cho phép người dùng có đặc quyền thấp (member) thực thi các lệnh hệ thống với quyền root trên phiên bản Coolify.
- CVE-2025-59156 (điểm CVSS: 9.4) - Lỗ hổng operating system command injection cho phép người dùng có đặc quyền thấp chèn các chỉ thị Docker Compose tùy ý và đạt được thực thi lệnh cấp root trên máy chủ cơ bản.
- CVE-2025-59157 (điểm CVSS: 10.0) - Lỗ hổng operating system command injection cho phép người dùng thông thường chèn các lệnh shell tùy ý được thực thi trên máy chủ cơ bản bằng cách sử dụng trường Git Repository trong quá trình triển khai.
- CVE-2025-59158 (điểm CVSS: 9.4) - Lỗ hổng improper encoding hoặc escaping của dữ liệu cho phép người dùng đã xác thực với đặc quyền thấp thực hiện một cuộc tấn công cross-site scripting (XSS) được lưu trữ, được tự động thực thi trong ngữ cảnh trình duyệt khi quản trị viên sau đó cố gắng xóa dự án hoặc tài nguyên liên quan của nó.
Các phiên bản bị ảnh hưởng bởi những thiếu sót này là -
- CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 - <= 4.0.0-beta.448 (Đã khắc phục trong >= 4.0.0-beta.451)
- CVE-2025-66212, CVE-2025-66213 - <= 4.0.0-beta.450 (Đã khắc phục trong >= 4.0.0-beta.451)
- CVE-2025-64419 - < 4.0.0-beta.436 (Đã khắc phục trong >= 4.0.0-beta.445)
- CVE-2025-64420, CVE-2025-64424 - <= 4.0.0-beta.434 (Tình trạng khắc phục không rõ ràng)
- CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 - <= 4.0.0-beta.420.6 (Đã khắc phục trong 4.0.0-beta.420.7)
Theo dữ liệu từ nền tảng quản lý bề mặt tấn công Censys, có khoảng 52.890 máy chủ Coolify đang bị lộ vào ngày 8 tháng 1 năm 2026, với phần lớn trong số đó được đặt tại Đức (15.000), Hoa Kỳ (9.800), Pháp (8.000), Brazil (4.200) và Phần Lan (3.400).
Mặc dù chưa có dấu hiệu cho thấy bất kỳ lỗ hổng nào đã bị khai thác trong thực tế, điều cần thiết là người dùng phải nhanh chóng áp dụng các bản vá càng sớm càng tốt do mức độ nghiêm trọng của chúng.
