11 falhas críticas podem comprometer servidores Coolify, inclusive no Brasil

Pesquisadores de cibersegurança, incluindo profissionais da Censys, revelaram detalhes de várias falhas de segurança críticas afetando a plataforma de código aberto Coolify, que permite hospedar servidores por conta própria. As vulnerabilidades permitem contornar autenticação e executar códigos remotamente, deixando que um hacker tome controle total.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que significa "Zero Trust" (Confiança Zero)?

As onze falhas críticas expõem 52.890 servidores segundo um levantamento da última quinta-feira (8), a maioria deles na Alemanha, com 15.000 usuários. O segundo país mais afetado são os Estados Unidos, com 9.800, seguido da França, 8.000, Brasil, 4.200, e Finlândia, com 3.400.

As falhas e correções do Coolify

Ainda não foram identificadas explorações das falhas levando ao comprometimento de servidores, mas os pesquisadores indicam que usuários potencialmente afetados apliquem correções o mais rápido possível, dada a severidade do problema. As seguintes versões do Coolify foram afetadas:

-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-

• CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 - <= 4.0.0-beta.448 (Consertada nas versões >= 4.0.0-beta.451);
• CVE-2025-66212, CVE-2025-66213 - <= 4.0.0-beta.450 (Consertada em >= 4.0.0-beta.451);
• CVE-2025-64419 - < 4.0.0-beta.436 (Consertada em >= 4.0.0-beta.445);
• CVE-2025-64420, CVE-2025-64424 - <= 4.0.0-beta.434 (sem correções conhecidas);
• CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 - <= 4.0.0-beta.420.6 (Consertada em 4.0.0-beta.420.7).

As vulnerabilidades variam de injeções de comando possíveis na base de dados a configurações de proxy dinâmico, exploração de privilégios, má codificação e escape de dados, gerando acesso indevido de várias maneiras diferentes, de SSH e autenticação a invasão por Repositório Git e muito mais. Aos usuários da plataforma, convém conferir a versão utilizada o mais rápido possível e atualizar devidamente.

Confira também no Canaltech:

• Roteamento de e-mail mal configurado pode gerar phishing interno, diz Microsoft
• Extensões populares do Chrome são pegas roubando conversas do ChatGPT
• Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Leia a matéria no Canaltech.