Im weltweiten Vergleich am meisten Instanzen in Deutschland von Remote Code Execution-Schwachstelle potenziell betroffen
In der Self-Hosting-Plattform Coolify ist ein Cluster von drei kritischen Schwachstellen aufgetreten. Sie ermöglichen es nicht oder nur gering privilegierten Benutzern, Remote Code Execution (RCE) als Root durchzuführen und Authentifizierungen zu umgehen. So können private SSH-Schlüssel gestohlen und Server kompromittiert werden. Die Verfügbarkeit eines PoC und die Trivialität des Exploits machen eine aktive Ausnutzung der Schwachstellen in naher Zukunft sehr wahrscheinlich. Konkret handelt es sich um folgende Schwachstellen:
– CVE-2025-64419 ermöglicht es Angreifern als Command-Injection-Schwachstelle, beliebige Systembefehle mit erhöhten Berechtigungen auszuführen. Die Sicherheitslücke besteht im Docker Compose Build Pack, Parameter aus Docker Compose-Dateien werden nicht ordnungsgemäß bereinigt. Die Schwachstelle erfordert, dass ein Benutzer eine Anwendung aus einem vom Angreifer kontrollierten Repository erstellt. Die Sicherheitslücke wird mit einem CVSS-Wert von 9,4 eingestuft.
– CVE-2025-64420 ermöglicht es Benutzern mit geringen Berechtigungen, auf einen privaten SSH-Schlüssel zuzugreifen. So können sie sich über SSH authentifizieren und möglicherweise erhöhte Berechtigungen für die Coolify-Instanz und den zugrunde liegenden Server erhalten. Mit einem CVSS-Wert von 9,9 ist die Sicherheitslücke besonders kritisch.
– CVE-2025-64424 ermöglicht es Benutzern mit geringen Berechtigungen (Mitgliedern), beliebige Systembefehle auf der Coolify-Instanz auszuführen. Die Sicherheitslücke besteht in den Git-Quell-Eingabefeldern, die vor der Verwendung in Systembefehlen nicht ordnungsgemäß bereinigt werden. Die Schwachstelle wird mit einem hohen CVSS-Score von 9,7 bewertet.
Eine Auswertung mit der Scanning-Infrastruktur von Censys zeigt, dass es weltweit 52.650 exponierte Hosts gibt. Mit 14.807 Instanzen ist Deutschland weltweit am stärksten von den Schwachstellen betroffen und liegt im Ländervergleich auf Platz eins, gefolgt von den USA mit 9.741 exponierten Hosts. Auch in Österreich und der Schweiz sind Instanzen von den Sicherheitslücken betroffen.
Erfahren Sie mehr über die Sicherheitslücken und die Untersuchung von Censys: https://censys.com/advisory/cve-2025-64424-cve-2025-64420-cve-2025-64419
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
http://www.censys.com/de
Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0
https://www.sprengel-pr.com/
- Cybersecurity (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. - Cybersicherheit (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. - Schwachstelle (Wikipedia)
Schwachstelle steht für: Schwachstelle einer Baugruppe (bspw. aufgrund einer Materialermüdung) Schwachstelle einer Software (Exploit), die durch einen Hack genutzt werden kann Schwachstelle (Organisation), Mangel innerhalb einer Organisation Siehe auch: Sollbruchstelle - Security (Wikipedia)
Security (englisch für „Schutz, Sicherheit“) steht für: IT-Security, siehe Informationssicherheit Security oder Wachdienst, Sicherheitsdienstleistungen, siehe Sicherheitsdienst Security, Maßnahmen zum Schutz vor böswilliger Absicht, siehe Sicherheit #Safety vs. Security Security (Messe), weltgrößte Messe für Sicherheits- und Brandschutztechnik in Essen (ab 1974) Werktitel: Security, Zusatzname zu einem Musikalbum (1982) von Peter Gabriel, siehe Peter Gabriel (Security) Security (Film), US-amerikanisch-bulgarischer Spielfilm (2017) geografisch: Security (Colorado), Ort im El Paso County Security (Louisiana), Ort im Catahoula Parish Security (Maryland), Ort im Baltimore County Security (Texas), Ort im Libery County Security Bay, Bucht der Doumer-Insel im Palmer-Archipel, Antarktis Siehe auch: Security Service (britischer Inlandsgeheimdienst MI5) Sécurité (Seefunk-Sicherheitsmeldung) Securitas (Begriffsklärung) Secure Liste aller Wikipedia-Artikel, deren Titel mit Security beginnt Liste aller Wikipedia-Artikel, deren Titel Security enthält - Sicherheitslücke (Wikipedia)
Eine Sicherheitslücke oder Schwachstelle ist im Gebiet der Informationssicherheit ein Fehler in einer Software oder einer Hardware, durch den ein Programm mit Schadwirkung (Exploit) oder ein Angreifer in ein Computersystem eindringen kann.
