Datenschutz & Sicherheit

Coolify: Kritische Lücken können Remote-Angriffe ermöglichen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Im GitHub-Repository von Coolify, einer Open-Source-Plattform fürs Self-Hosting, stehen zahlreiche frisch veröffentlichte Sicherheitshinweise bereit.

Weiterlesen nach der Anzeige

Fünf der darin beschriebenen Lücken wurden als kritisch eingestuft. Angreifer mit geringen Zugriffsprivilegien könnten sie unter ganz bestimmten Voraussetzungen (spezifische Zugriffsrechte / Team-Mitgliedschaft) missbrauchen, um aus der Ferne schädlichen Code auszuführen (Remote Code Execution), unbefugt auf Ressourcen zuzugreifen oder Daten zu exfiltrieren.

Insbesondere vor dem Hintergrund, dass die Advisories detaillierte Lückenbeschreibungen und Proofs-of-Concept enthalten, sollten Admins möglichst zeitnah einen Blick auf die Übersicht werfen und, sofern notwendig beziehungsweise noch nicht geschehen, die verfügbaren Aktualisierungen vornehmen. Über Angriffe in freier Wildbahn ist bislang nichts bekannt.

Als kritisch bewertet wurden die folgenden Sicherheitslücken, deren zugehörige Advisories wir jeweils verlinkt haben:

  • CVE-2026-34038: Potenzielle Remote Code Execution und Datenexfiltration durch einen authentifizierten Angreifer mit bestimmten Lese- und Schreibrechten. Betroffene Versionen: <= 4.0.0-beta.462; gepatcht in: >= 4.0.0-beta.469
  • CVE-2026-34047: Unbefugte Befehlsausführung durch authentifizierte Team-Mitglieder möglich; Erlangen von Root-Rechten im Rahmen einer Exploit-Chain. Betroffene Versionen: <= 4.0.0-beta.470; gepatcht in: 4.0.0-beta.471
  • CVE-2026-57498: Unerlaubter Ressourcenzugriff aufgrund mangelhafter Validierungsmechanismen. Betroffene Versionen: < 4.0.0-beta.474; gepatcht in: 4.0.0-beta.474
  • CVE-2026-34037: Unbefugte Aktionen (u. a. Verschieben/Klonen von Ressourcen) durch Team-Mitglieder. Betroffene Versionen: < 4.0.0-beta.464; gepatcht in: 4.0.0-beta.464
  • CVE-2026-34048: Befehlsausführung mit Rootrechten durch Team-Mitglieder auf Team-Servern mit aktiviertem Terminal-Zugriff. Betroffene Versionen: <= 4.0.0-beta.470; gepatcht in: 4.0.0-beta.471

Die Schweregrade der übrigen Sicherheitslücken aus der Advisory-Übersicht reichen von „low“ bis „high“. Angesichts der sehr unterschiedlichen Angaben zu betroffenen und abgesicherten Versionen dürfte es ratsam sein, im Zweifel auf die aktuellste verfügbare Version aus der Release-Übersicht umzusteigen.


(ovw)



Source link

Beliebt

Die mobile Version verlassen