11 falhas críticas podem comprometer servidores Coolify, inclusive no Brasil
Pesquisadores de cibersegurança, incluindo profissionais da Censys, revelaram detalhes de várias falhas de segurança críticas afetando a plataforma de código aberto Coolify, que permite hospedar servidores por conta própria. As vulnerabilidades permitem contornar autenticação e executar códigos remotamente, deixando que um hacker tome controle total. O que é uma vulnerabilidade de dia zero (Zero-Day)? O que significa "Zero Trust" (Confiança Zero)? As onze falhas críticas expõem 52.890 servidores segundo um levantamento da última quinta-feira (8), a maioria deles na Alemanha, com 15.000 usuários. O segundo país mais afetado são os Estados Unidos, com 9.800, seguido da França, 8.000, Brasil, 4.200, e Finlândia, com 3.400. As falhas e correções do Coolify Servidores vulneráveis às falhas de segurança do Coolify, segundo levantamento (Imagem: Censys/Divulgação) Ainda não foram identificadas explorações das falhas levando ao comprometimento de servidores, mas os pesquisadores indicam que usuários potencialmente afetados apliquem correções o mais rápido possível, dada a severidade do problema. As seguintes versões do Coolify foram afetadas: -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.-
CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 - <= 4.0.0-beta.448 (Consertada nas versões >= 4.0.0-beta.451);
CVE-2025-66212, CVE-2025-66213 - <= 4.0.0-beta.450 (Consertada em >= 4.0.0-beta.451);
CVE-2025-64419 - < 4.0.0-beta.436 (Consertada em >= 4.0.0-beta.445);
CVE-2025-64420, CVE-2025-64424 - <= 4.0.0-beta.434 (sem correções conhecidas);
CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 - <= 4.0.0-beta.420.6 (Consertada em 4.0.0-beta.420.7). As vulnerabilidades variam de injeções de comando possíveis na base de dados a configurações de proxy dinâmico, exploração de privilégios, má codificação e escape de dados, gerando acesso indevido de várias maneiras diferentes, de SSH e autenticação a invasão por Repositório Git e muito mais. Aos usuários da plataforma, convém conferir a versão utilizada o mais rápido possível e atualizar devidamente. Confira também no Canaltech: Roteamento de e-mail mal configurado pode gerar phishing interno, diz Microsoft Extensões populares do Chrome são pegas roubando conversas do ChatGPT Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin VÍDEO | 7 ataques hacker que entraram para a história [Top Tech] Leia a matéria no Canaltech.