Giriş
Son dönemde, açık kaynaklı bir platform olan Coolify‘da kritik seviyede bir dizi güvenlik açığı tespit edilmiştir. Bu zafiyetler, kimlik doğrulama atlatma ve uzaktan kod yürütme gibi ciddi sonuçlara yol açabilir.
Saldırı Nasıl Çalışıyor?
Aşağıda, Coolify üzerinde tespit edilen bazı önemli güvenlik açıkları ve bu açıkların neden olduğu riskler bulunmaktadır:
- CVE-2025-66209 (CVSS puanı: 10.0) – Veritabanı yedekleme işlevinde bir komut enjeksiyonu açığı bulunmakta; bu, herhangi bir kimlik doğrulaması yapılmış kullanıcının sunucu üzerinde rastgele komutlar çalıştırmasına yol açabilir.
- CVE-2025-66210 (CVSS puanı: 10.0) – Veritabanı içe aktarma işlevinde kimlik doğrulaması yapılmış bir komut enjeksiyonu zafiyeti, saldırganların yönetilen sunucularda rastgele komutlar yürütmesine neden olabilir.
- CVE-2025-66211 (CVSS puanı: 10.0) – PostgreSQL başlangıç script yönetimindeki komut enjeksiyonu açığı, veritabanı izinlerine sahip kullanıcıların sunucuda root olarak rastgele komutlar çalıştırmasına olanak tanımaktadır.
- CVE-2025-66212 (CVSS puanı: 10.0) – Dinamik Proxy Yapılandırma işlevindeki kimlik doğrulaması yapılmış komut enjeksiyonu açığı, sunucu yönetim izinlerine sahip kullanıcıların root olarak komutlar çalıştırabilmesine neden olmaktadır.
- CVE-2025-66213 (CVSS puanı: 10.0) – Dosya Depolama Katalogu Montaj işlevindeki kimlik doğrulaması yapılmış komut enjeksiyonu açığı, uygulama/servis yönetim izinlerine sahip kullanıcıların root olarak komutlar yürütmesini sağlamaktadır.
- CVE-2025-64419 (CVSS puanı: 9.7) – Docker-compose.yaml aracılığıyla bir komut enjeksiyonu açığı, saldırganlara Coolify örneğinde root olarak rastgele sistem komutları çalıştırma yetkisi vermektedir.
- CVE-2025-64420 (CVSS puanı: 10.0) – Düşük yetkili kullanıcıların Coolify örneğindeki root kullanıcının özel anahtarını görüntülemesine izin veren bir bilgi sızdırma açığı bulunmaktadır.
- CVE-2025-64424 (CVSS puanı: 9.4) – Kaynakların git kaynak giriş alanlarında bulunan bir komut enjeksiyonu açığı, düşük yetkili kullanıcıların Coolify örneğinde root olarak sistem komutları çalıştırmalarına olanak tanımaktadır.
- CVE-2025-59156 (CVSS puanı: 9.4) – Düşük yetkili bir kullanıcıya, Docker Compose direktiflerini enjekte etme yetkisi veren bir işletim sistemi komut enjeksiyonu açığı tespit edilmiştir.
- CVE-2025-59157 (CVSS puanı: 10.0) – Normal bir kullanıcının, dağıtım sırasında kullanılacak Git Repo alanını kullanarak, sunucu üzerinde rastgele shell komutları enjekte etmesine izin veren bir açık bulunmaktadır.
- CVE-2025-59158 (CVSS puanı: 9.4) – Düşük yetkili bir kullanıcının, proje oluşturma sırasında saklı XSS saldırıları gerçekleştirmesini sağlayan bir veri kodlama veya kaçırma hatası bulunmaktadır.
Etkilenen Sistemler
Aşağıdaki versiyonlar bu zafiyetlerden etkilenmektedir:
- CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – = 4.0.0-beta.451
- CVE-2025-66212, CVE-2025-66213 – = 4.0.0-beta.451
- CVE-2025-64419 – = 4.0.0-beta.445
- CVE-2025-64420, CVE-2025-64424 – = 4.0.0-beta.445
- CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 – = 4.0.0-beta.451
Çözüm ve Korunma
Censys tarafından sağlanan verilere göre, Ocak 8, 2026 itibarıyla yaklaşık 52.890 açık Coolify sunucusu bulunmaktadır. Kullanıcıların, bu zafiyetlerin ciddiyeti nedeniyle, düzeltmeleri hızlı bir şekilde uygulamaları büyük önem taşımaktadır.
Aksiyon
Okuyucularına önerimiz, Coolify sistemlerini en kısa süre içinde güncellemeleri, zararlı erişimi önlemek için gereksiz portları kapatmaları ve sistem yapılandırmalarını gözden geçirmeleridir. Unutulmamalıdır ki, bu tür açılara karşı duyarsız kalmak, ciddi güvenlik ihlallerine yol açabilir.
