Los investigadores de ciberseguridad han revelado detalles de múltiples fallas de seguridad de gravedad crítica que afectan Coolificar , una plataforma de código abierto y autohospedaje que podría provocar la omisión de la autenticación y la ejecución remota de código.

La lista de vulnerabilidades es la siguiente -

  • CVE-2025-66209 (Puntuación CVSS: 10,0): una vulnerabilidad de inyección de comandos en la función de copia de seguridad de la base de datos permite a cualquier usuario autenticado con permisos de copia de seguridad de la base de datos ejecutar comandos arbitrarios en el servidor host, lo que provoca que se escape del contenedor y se comprometa todo el servidor
  • CVE-2025-66210 (Puntuación CVSS: 10,0): una vulnerabilidad de inyección de comandos autenticados en la funcionalidad de importación de bases de datos permite a los atacantes ejecutar comandos arbitrarios en los servidores gestionados, lo que pone en peligro la infraestructura total
  • CVE-2025-66211 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos en la administración de scripts de inicio de PostgreSQL permite a los usuarios autenticados con permisos de base de datos ejecutar comandos arbitrarios como root en el servidor
  • CVE-2025-66212 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos autenticados en la funcionalidad de configuración de proxy dinámico permite a los usuarios con permisos de administración de servidores ejecutar comandos arbitrarios como root en servidores gestionados
  • CVE-2025-66213 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos autenticados en la funcionalidad de montaje de directorios de almacenamiento de archivos permite a los usuarios con permisos de administración de aplicaciones o servicios ejecutar comandos arbitrarios como root en servidores administrados
  • CVE-2025-64419 (Puntuación CVSS: 9,7): una vulnerabilidad de inyección de comandos a través de docker-compose.yaml que permite a los atacantes ejecutar comandos arbitrarios del sistema como root en la instancia de Coolify
  • CVE-2025-64420 (Puntuación CVSS: 10.0): una vulnerabilidad de divulgación de información que permite a los usuarios con pocos privilegios ver la clave privada del usuario raíz en la instancia de Coolify, lo que les permite obtener acceso no autorizado al servidor a través de SSH y autenticarse como usuario raíz con la clave
  • CVE-2025-64424 (Puntuación CVSS: 9.4): se encontró una vulnerabilidad de inyección de comandos en los campos de entrada de código fuente de git de un recurso, lo que permitía a un usuario (miembro) con pocos privilegios ejecutar comandos del sistema como root en la instancia de Coolify
  • CVE-2025-59156 (Puntuación CVSS: 9.4): una vulnerabilidad de inyección de comandos en el sistema operativo que permite a un usuario con pocos privilegios inyectar directivas arbitrarias de Docker Compose y lograr la ejecución de comandos a nivel de raíz en el host subyacente
  • CVE-2025-59157 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de comandos del sistema operativo que permite a un usuario normal inyectar comandos de shell arbitrarios que se ejecutan en el servidor subyacente mediante el campo Git Repository durante la implementación
  • CVE-2025-59158 (puntuación CVSS: 9,4): codificación o escape incorrectos de los datos que permite a un usuario autenticado con pocos privilegios realizar un ataque de secuencias de comandos entre sitios (XSS) almacenadas durante la creación del proyecto, que se ejecuta automáticamente en el contexto del navegador cuando un administrador intenta eliminar posteriormente el proyecto o su recurso asociado

Las siguientes versiones se ven afectadas por las deficiencias:

  • CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 - <= 4.0.0-beta.448 (Se corrigió en >= 4.0.0-beta.451)
  • CVE-2025-66212, CVE-2025-66213 - <= 4.0.0-beta.450 (Se corrigió en >= 4.0.0-beta.451)
  • CVE-2025-64419 -= < 4.0.0-beta.436 (Fixed in > 4.0.0-beta.445)
  • CVE-2025-64420, CVE-2025-64424 - <= 4.0.0-beta.434 (El estado de la corrección no está claro)
  • CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 - <= 4.0.0-beta.420.6 (Corregido en 4.0.0-beta.420.7)
Fuente: Censys

De acuerdo con dato de la plataforma de gestión de superficies de ataque Censys, hay alrededor de 52.890 hosts de Coolify expuestos al 8 de enero de 2026, la mayoría de ellos ubicados en Alemania (15 000), EE. UU. (9 800), Francia (8 000), Brasil (4 200) y Finlandia (3 400)

Si bien no hay indicios de que ninguna de las fallas se haya explotado de forma espontánea, es esencial que los usuarios actúen rápidamente para aplicar las correcciones lo antes posible en función de su gravedad.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.