Zum Inhalt springen

Coolify-Lücke erlaubt Codeausführung nach Login

2. Juli 2026 durch
Coolify-Lücke erlaubt Codeausführung nach Login
Tom Ziegler

Für Coolify liegt eine als hoch eingestufte Schwachstelle vor: Ein entfernter, bereits authentisierter Angreifer kann die Lücke ausnutzen, um beliebigen Programmcode auszuführen und Informationen offenzulegen. Betroffen sind verwundbare Coolify-Installationen, in denen der fehlerhafte authentisierte Zugriffspfad erreichbar ist. Das Risiko ist für Betreiber besonders relevant, weil Coolify typischerweise nah an Deployment-Prozessen, Konfigurationen und Laufzeitumgebungen arbeitet. Ein erfolgreicher Angriff kann damit nicht nur einzelne Daten betreffen, sondern auch die Umgebung, in der Anwendungen gebaut, gestartet oder verwaltet werden.

Warum ein authentisierter Angriff trotzdem kritisch ist

Die Voraussetzung „authentisiert“ senkt die Einstiegshürde für Angreifer nicht automatisch auf ein unkritisches Niveau. In vielen Betriebsmodellen besitzen mehrere Teams, Dienstleister oder technische Accounts Zugriff auf Deployment-Plattformen. Auch kompromittierte Zugangsdaten, wiederverwendete Passwörter oder zu weit gefasste Rollen reichen aus, um aus einem regulären Login einen Angriffspfad zu machen. Entscheidend ist hier: Der Angreifer muss nicht lokal auf dem System stehen, sondern kann die Schwachstelle aus der Ferne ansprechen, sofern er sich an der Anwendung anmelden kann.

Die Kombination aus Remote Code Execution und Information Disclosure ist für Admins unangenehm. Codeausführung bedeutet, dass der Angreifer die Kontrolle über ausgeführte Befehle oder Programmteile erlangen kann. Informationsoffenlegung kann parallel dazu helfen, weitere Angriffsschritte vorzubereiten: Konfigurationswerte, Umgebungsinformationen oder andere interne Daten sind in Deployment-Kontexten besonders wertvoll, weil sie oft Hinweise auf Services, Secrets, Zielsysteme oder Betriebsabläufe liefern.

Coolify wird als zentrale Verwaltungs- und Automatisierungskomponente genutzt. Damit ist die Plattform selten ein isoliertes System. Sie steht häufig in Verbindung mit Repositories, Containern, Zielhosts, Datenbanken oder externen Diensten. Eine Schwachstelle in einer solchen Komponente wirkt deshalb nicht wie ein gewöhnlicher Fehler in einer Randanwendung. Sie kann sich entlang der Deployment-Kette auswirken, vor allem wenn Rollenmodelle zu großzügig konfiguriert sind oder Service-Accounts mehr Rechte besitzen, als sie für den täglichen Betrieb benötigen.

Angriffsfläche liegt im angemeldeten Bereich

Der Angriffsweg setzt eine gültige Anmeldung voraus. Für die Praxis heißt das: Betreiber sollten nicht nur auf klassische Perimeter-Schutzmaßnahmen schauen. Eine Firewall vor der Instanz hilft nur begrenzt, wenn legitime Nutzer aus zugelassenen Netzen oder über VPN Zugriff haben. Ebenso reicht es nicht, ausschließlich externe Scanner auf unauthentisierte Endpunkte anzusetzen. Die relevante Angriffsfläche liegt im Bereich, den angemeldete Nutzer erreichen.

Besonders kritisch sind gemeinsam genutzte Accounts, dauerhaft aktive API- oder Service-Zugänge und Benutzerkonten ehemaliger Mitarbeiter oder Dienstleister. Wenn solche Konten noch gültig sind, kann eine eigentlich interne Schwachstelle schnell praktisch ausnutzbar werden. Admins sollten deshalb prüfen, welche Konten auf Coolify Zugriff haben, welche Rollen sie besitzen und ob die Rechte dem tatsächlichen Aufgabenprofil entsprechen. Das Ziel ist nicht nur Schadensbegrenzung nach einem Exploit, sondern die Reduktion der Personen und Tokens, die den verwundbaren Pfad überhaupt erreichen können.

Auch Logging verdient Aufmerksamkeit. Bei einer Codeausführung über eine Webanwendung sind nicht zwangsläufig auffällige System-Events zu erwarten. Relevanter sind Anmeldeereignisse, ungewöhnliche Aktionen im Admin- oder Projektkontext, Änderungen an Deployments, auffällige Konfigurationsänderungen und Zugriffe zu Zeiten, die nicht zum normalen Betriebsfenster passen. Wer Coolify zentral protokolliert, sollte diese Ereignisse mit Identity-, VPN- und Host-Logs korrelieren.

Priorität für Betreiber von Deployment-Umgebungen

Die Einstufung als hohe Gefährdung passt zum möglichen Schadensbild. Eine Deployment-Plattform verwaltet nicht nur Oberflächenfunktionen, sondern greift in operative Abläufe ein. Dort können bereits kleine Rechteausweitungen schwer wiegen. Wenn ein Angreifer beliebigen Programmcode ausführen kann, muss der Vorfall so behandelt werden, als könne die betroffene Instanz aktiv zur Manipulation der Umgebung genutzt werden. Informationsabfluss verschärft das, weil abgeflossene Daten auch nach dem Schließen der Lücke weiter missbraucht werden können.

Admins sollten daher kurzfristig ein Wartungsfenster einplanen und Coolify-Instanzen priorisiert behandeln. Dazu gehört, die Erreichbarkeit der Oberfläche zu prüfen, den Kreis der authentisierten Nutzer zu verkleinern und alle nicht zwingend benötigten Zugänge zu deaktivieren. Wo Coolify über das Internet erreichbar ist, sollte der Zugriff bis zur Absicherung auf vertrauenswürdige Netze, VPN oder administrative Quelladressen begrenzt werden. Diese Maßnahme ersetzt kein Update, reduziert aber die unmittelbare Ausnutzbarkeit.

Nach der Aktualisierung oder Absicherung sollten Betreiber nicht direkt zum Normalbetrieb übergehen. Sinnvoll ist eine kurze Nachprüfung: Welche Benutzer haben sich zuletzt angemeldet? Gab es neue oder geänderte Deployments? Wurden Konfigurationen verändert? Sind Secrets, Tokens oder Zugangsdaten betroffen, sollten sie rotiert werden. Bei Plattformen mit Deployment-Funktion ist dieser Schritt wichtig, weil ein Angreifer möglicherweise nicht nur Daten gelesen, sondern auch Folgezugänge vorbereitet hat.

Für die kurzfristige Reaktion empfiehlt sich ein pragmatisches Vorgehen: zuerst Exposition senken, dann Update einspielen, anschließend auf Spuren prüfen und Zugangsdaten bereinigen.

  • Aktualisieren Sie Coolify auf eine abgesicherte Version, sobald sie für Ihre Installation verfügbar ist.
  • Beschränken Sie den Zugriff auf Coolify auf VPN, Admin-Netze oder definierte Quelladressen.
  • Prüfen Sie Benutzer, Tokens und Rollen und deaktivieren Sie nicht benötigte Zugänge.
  • Kontrollieren Sie Logs auf ungewöhnliche Logins, Deployment-Änderungen und Konfigurationszugriffe.
Coolify-Lücke erlaubt Codeausführung nach Login
Tom Ziegler 2. Juli 2026
Diesen Beitrag teilen