Investigadores en ciberseguridad han revelado una serie de vulnerabilidades de gravedad crítica que afectan a Coolify, una popular plataforma open source de autoalojamiento utilizada para desplegar y gestionar aplicaciones mediante contenedores. Los fallos identificados podrían permitir bypass de autenticación, ejecución remota de código (RCE), escalada de privilegios y compromiso total del servidor, lo que convierte este conjunto de vulnerabilidades en uno de los riesgos más graves observados recientemente en el ecosistema DevOps.
Coolify es ampliamente utilizada como alternativa autoalojada a plataformas PaaS comerciales, lo que explica el alto impacto potencial de estas deficiencias de seguridad en entornos productivos.
Panorama general del riesgo
La mayoría de las vulnerabilidades descubiertas presentan puntuaciones CVSS de 9.4 a 10.0, el nivel máximo de severidad, y afectan a funcionalidades críticas como:
-
Copias de seguridad e importación de bases de datos
-
Gestión de scripts PostgreSQL
-
Configuración dinámica de proxy
-
Montaje de directorios de almacenamiento
-
Uso de Docker Compose
-
Integraciones con repositorios Git
En muchos casos, basta con contar con permisos bajos o intermedios para lograr ejecución de comandos como root, escapar de contenedores y comprometer por completo el host subyacente.
Vulnerabilidades más críticas identificadas
Entre los fallos más graves destacan los siguientes:
-
CVE-2025-66209 (CVSS 10.0)
Vulnerabilidad de inyección de comandos en la funcionalidad de copia de seguridad de bases de datos. Permite que cualquier usuario autenticado con permisos de backup ejecute comandos arbitrarios en el servidor anfitrión, provocando escape de contenedores y compromiso total del sistema. -
CVE-2025-66210 (CVSS 10.0)
Inyección de comandos autenticados durante la importación de bases de datos, que habilita la ejecución de comandos arbitrarios en servidores gestionados. -
CVE-2025-66211 (CVSS 10.0)
Fallo en la gestión de scripts de entrada de PostgreSQL que permite a usuarios autenticados ejecutar comandos como root. -
CVE-2025-66212 y CVE-2025-66213 (CVSS 10.0)
Vulnerabilidades en la configuración dinámica de proxy y el montaje de directorios de almacenamiento, explotables por usuarios con permisos de gestión para ejecutar comandos arbitrarios con privilegios elevados.
Inyección de comandos vía Docker y Git
Coolify también presenta múltiples fallos relacionados con Docker Compose y repositorios Git, que son especialmente peligrosos en entornos DevOps:
-
CVE-2025-64419 (CVSS 9.7)
Permite la ejecución de comandos arbitrarios como root mediante la manipulación de archivos1docker-compose.yaml.
-
CVE-2025-59156 y CVE-2025-59157 (CVSS 9.4 y 10.0)
Vulnerabilidades que permiten a usuarios con pocos privilegios inyectar directivas maliciosas de Docker Compose o comandos de shell, logrando ejecución a nivel raíz en el host. -
CVE-2025-64424 (CVSS 9.4)
Inyección de comandos a través de campos de entrada relacionados con fuentes Git, explotable incluso por usuarios con rol de miembro.
Estos fallos son especialmente críticos porque aprovechan flujos de trabajo legítimos, lo que dificulta su detección mediante controles tradicionales.
Divulgación de clave privada raíz y XSS almacenado
Otros hallazgos elevan aún más el nivel de riesgo:
-
CVE-2025-64420 (CVSS 10.0)
Vulnerabilidad de divulgación de información que permite a usuarios con bajo privilegio visualizar la clave privada SSH del usuario root, facilitando acceso remoto no autorizado y control total del servidor. -
CVE-2025-59158 (CVSS 9.4)
Vulnerabilidad de cross-site scripting (XSS) almacenado que permite ejecutar código JavaScript malicioso en el navegador de un administrador, lo que puede facilitar el robo de sesiones, acciones administrativas forzadas o escalada de privilegios.

Versiones afectadas y estado de los parches
Las vulnerabilidades afectan principalmente a versiones beta de Coolify 4.0, con distintos rangos según el CVE. Algunas ya han sido corregidas, mientras que otras presentan un estado de corrección incierto, lo que incrementa la urgencia de revisión por parte de los administradores.
En términos generales:
-
Varias vulnerabilidades críticas fueron corregidas a partir de 4.0.0-beta.451
-
Otras se mitigaron en 4.0.0-beta.445 y 4.0.0-beta.420.7
-
Algunas versiones anteriores a 4.0.0-beta.434 siguen presentando riesgos sin confirmación clara de parche
Actualizar a la última versión disponible es una acción prioritaria e ineludible.
Miles de instancias expuestas en Internet
Según datos de la plataforma de gestión de superficie de ataque Censys, al 8 de enero de 2026 existían aproximadamente 52.890 hosts Coolify expuestos a Internet. La mayor concentración se encuentra en:
-
Alemania: ~15.000
-
Estados Unidos: ~9.800
-
Francia: ~8.000
-
Brasil: ~4.200
-
Finlandia: ~3.400
Este volumen de instancias accesibles públicamente convierte a Coolify en un objetivo altamente atractivo para actores maliciosos, incluso si aún no se ha confirmado explotación activa en la naturaleza.
Riesgo real y recomendaciones urgentes
Aunque actualmente no hay evidencias públicas de explotación activa, la combinación de CVSS máximos, facilidad de explotación y alta exposición crea un escenario de riesgo extremo. En incidentes similares, este tipo de vulnerabilidades suele ser explotado poco después de su divulgación.
Se recomienda a los administradores:
-
Actualizar inmediatamente a versiones corregidas
-
Restringir el acceso a la interfaz de Coolify
-
Revisar roles y permisos de usuarios
-
Auditar configuraciones Docker y repositorios Git
-
Monitorizar actividad sospechosa y accesos SSH
En fin…
Las vulnerabilidades críticas descubiertas en Coolify representan un serio recordatorio de los riesgos asociados al autoalojamiento y la gestión insegura de plataformas DevOps. Con múltiples vectores que permiten ejecución remota de código como root, divulgación de claves privadas y bypass de controles de seguridad, la actualización inmediata no es opcional, sino obligatoria.
En un ecosistema donde la automatización y los contenedores son clave, asegurar correctamente las plataformas de orquestación es fundamental para evitar compromisos catastróficos.
Fuente: The Hacker News
