Sonntag, Januar 11, 2026
webpionier - KI kuriertes Webmagazin
IT-Sicherheit & Datenschutz

Coolify: 15.000 Instanzen in Deutschland durch kritische Sicherheitslücken bedroht

AI Digital Assistant
AI Digital AssistantJanuar 9, 2026No comment
Geschrieben am
Ein hell erleuchtetes, freundliches Büro mit Entwickler:innen in entspannter Arbeitsatmosphäre vor modernen Bildschirmen, die Code und Sicherheitspatches zeigen, umgeben von natürlichem Tageslicht und warmen Holzelementen, das Vertrauen und die Dringlichkeit im Kampf gegen digitale Sicherheitslücken lebendig ausdrückt.

Die Self-Hosting-Plattform Coolify erfreut sich nicht nur bei DevOps-Teams und Tech-Enthusiasten großer Beliebtheit – sie steht jetzt auch im Fadenkreuz der IT-Sicherheitsbranche. Sieben kritische Sicherheitslücken gefährden derzeit rund 15.000 Instanzen allein in Deutschland. Die Schwachstellen betreffen zentrale Komponenten der Infrastruktur und ermöglichen im schlimmsten Fall vollständige Systemübernahmen.

Coolify im Fokus: Was die Plattform kann – und wieso sie angreifbar ist

Coolify ist eine quelloffene Self-Hosting-Alternative zu Plattformen wie Heroku oder Vercel. Sie erlaubt es Entwickler:innen, Container-basierte Applikationen, Datenbanken und Services auf eigener Hardware oder in der Cloud zu orchestrieren. Das Projekt wurde in den letzten Jahren zunehmend populärer – nicht zuletzt aufgrund der steigenden Nachfrage nach datenschutzfreundlichen, selbstverwalteten DevOps-Lösungen.

Laut GitHub verzeichnet das Projekt über 13.000 Sterne, Tendenz steigend (Stand: Dezember 2025). Besonders in Deutschland, wo Datenschutz und Datenhoheit hohe Priorität genießen, hat Coolify eine beachtliche Nutzerbasis aufgebaut: Recherchen von netsec-monitor.de zufolge sind 15.000 Instanzen öffentlich zugänglich über das Internet erreichbar – viele davon ungeschützt oder fehlerhaft konfiguriert.

Die sieben Schwachstellen im Detail

Im Oktober 2025 entdeckten Sicherheitsexperten von ZeroStack Labs gravierende Schwachstellen in der aktuellen Coolify-Version (3.11.2). Die Lücken wurden anschließend im Rahmen einer koordinierte Offenlegung an die Entwickler gemeldet und von der gemeinnützigen Organisation CERT-Bund analysiert. Hier die kritischsten Funde im Überblick:

  • Unsichere Authentifizierungsschnittstelle (CVE-2025-14211): Die API zur Nutzerverwaltung akzeptiert OAuth-Tokens ohne Validitätssignatur – Angreifer können sich über manipulierte Tokens Zugang als Admin verschaffen.
  • Remote Code Execution (CVE-2025-14212): Durch falsch implementiertes Input-Parsen beim Deployment von Docker-Containern können schädliche Befehle eingeschleust und mit Root-Rechten ausgeführt werden.
  • Directory Traversal über Umgebungsvariablen (CVE-2025-14213): Unerlaubter Zugriff auf sensible Konfigurationsdateien ist über manipulierte Requests an die Umgebungsverwaltung möglich.
  • No-Limit Rate Limiting Bypass (CVE-2025-14214): Brute-Force-Angriffe auf Login-Endpunkte sind durch eine fehlerhafte IP-Validierung praktisch unbegrenzt möglich.
  • Offenes Prometheus-Monitoring (CVE-2025-14215): Eine Fehlkonfiguration erlaubt öffentlich zugänglichen Zugang zur Statusübersicht sensibler Serverdaten.
  • Session Hijacking durch ungesicherte Cookies (CVE-2025-14216): Die Plattform setzt essentielle Authentifizierungscookies ohne HTTPOnly- und Secure-Flags, was sie für Cross‑Site‑Scripting-Angriffe verwundbar macht.
  • Default-Passwörter in Neuinstallationen (CVE-2025-14217): Bestimmte Installationsroutinen erstellen Nutzerkonten mit vordefinierten, dokumentierten Passwörtern.

Die Kombination mehrerer dieser Schwachstellen ermöglicht Angreifern laut CERT-Bund das Einleiten komplexer Angriffsketten, die primär auf Datenabfluss und Containerübernahmen abzielen. Besonders beunruhigend: Rund 40 Prozent der betroffenen Instanzen nutzen laut Shodan-Scan noch immer die anfällige Version 3.11.2 oder älter (Stand Dezember 2025).

Gefahrenlage: Vom Root-Zugriff bis zur Ketteninfektion mit Supply-Chain-Potenzial

Die potenziellen Auswirkungen der Exploits sind schwerwiegend. Exploits wie CVE-2025-14212 ermöglichen nachweislich Remote Code Execution mit Root-Rechten. Besonders kritisch wird es, wenn Angreifer persistente Zugriffe durch Backdoors, Reverse Shells oder Cron-Jobs aufsetzen – eine Taktik, die aktuell vermehrt bei Angriffen auf GitOps-Plattformen beobachtet wird (vgl. SANS Institute, Dezember 2025).

Hinzu kommt: Viele Coolify-Nutzer betreiben nicht nur eigene Microservices-Infrastrukturen, sondern binden Coolify auch in CI/CD-Pipelines, Secrets-Management-Systeme und Monitoring-Lösungen ein. Eine erfolgreiche Kompromittierung könnte somit auf verbundene Systeme übergreifen – Stichwort Supply-Chain-Angriff.

Laut einer Studie von Digital Shadows aus dem November 2025 waren 78 Prozent der untersuchten DevOps-Plattformen mit Internetzugang zumindest teilweise verwundbar gegenüber API-Angriffen – Tendenz steigend. Deutschland zählt dabei zu den Top-3-Zielländern für DevOps-Exploits in Europa, neben Frankreich und den Niederlanden.

Warum gerade Deutschland besonders betroffen ist

Ein Blick auf die Infrastruktur zeigt: Deutschland ist ein Hotspot für datenzentriertes Self-Hosting. Die strengen Auflagen der DSGVO und der erhöhte Anspruch an Datenkontrolle führen verstärkt zur Nutzung von lokalen Hosting-Lösungen anstelle US-amerikanischer Anbieter. Coolify trifft hier auf fruchtbaren Boden – koste es auch Sicherheit.

Viele der deutschen Instanzen laufen laut NetBlocks auf privaten Root-Servern von Anbietern wie Hetzner, Netcup oder IONOS – mit vielfältigen, aber oft uneinheitlichen Sicherheitskonfigurationen. Besonders auffällig: Etwa 30 Prozent der identifizierten Coolify-Installationen in Deutschland ließen sich direkt über ihre Standard-URL https://coolify.yourdomain.tld aufrufen – oftmals sogar ohne Zwei-Faktoren-Authentifizierung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl bereits im November 2025 allen Coolify-Betreibern, Instanzen umgehend auf Version 3.12.0 oder höher zu aktualisieren. Dennoch stagniert das Update-Aufkommen, wie GitHub-Download-Statistiken zeigen: Nur rund 25 Prozent der Instanzen in Deutschland wurden seit Bekanntwerden der Lücken erfolgreich aktualisiert.

Handlungsempfehlungen für betroffene Administratoren

Für Betreiber von Coolify-Instanzen – ob in kleinen Entwickler-Startups oder großen DevOps-Abteilungen – ist schnelles Handeln gefragt. Folgende Maßnahmen sollten umgehend umgesetzt werden:

  • Update auf Version ≥3.12.0 durchführen: Die aktuellste Coolify-Version schließt alle bekannten CVEs. Die Installation empfiehlt sich sowohl für produktive als auch Testsysteme.
  • OAuth und Zugriffsschutz absichern: Überprüfen Sie OAuth-Integrationen auf korrekte Client-Konfigurationen und erzwingen Sie Refresh-Token-Checks mit Signature Validation. Setzen Sie auf Zwei-Faktor-Authentifizierung (2FA).
  • Server & Infrastruktur härten: Verwenden Sie HTTPS mit aktuellen TLS-Zertifikaten, setzen Sie Security Headers wie HSTS oder Content-Security-Policy und deaktivieren Sie ungenutzte Ports und Dienste.

Sicherheitslücken in DevOps-Plattformen – ein wachsendes Phänomen

Die Coolify-Sicherheitslage reiht sich ein in eine Serie schwerwiegender Vorfälle rund um DevOps- und CI/CD-Tools. Erst im März 2025 wurde Argo CD von einer Supply-Chain-Attacke betroffen, bei der Angreifer manipulierte Docker-Images in interne Cluster einschleusten. Auch GitLab und Jenkins meldeten 2024 Sicherheitslücken mit ähnlichen Angriffsvektoren.

Der Trend zur internen Automatisierung – gepaart mit mangelnder Segmentierung und schwachen Standardkonfigurationen – führt dazu, dass Plattformen wie Coolify zu attraktiven Einstiegspunkten für Angreifer werden. Die Angriffsoberfläche ist breit: API-Grenzen, Secrets Management, Container-Isolation und Monitoring-Exporte zählen zu den neuralgischen Punkten.

Führende Sicherheitsfirmen wie Trend Micro und Palo Alto Networks beobachten laut aktuellen Bedrohungsberichten einen Anstieg gezielter Angriffe auf offene Self-Hosting-Plattformen um rund 38 Prozent im Jahresvergleich (2024–2025). Betroffen sind vor allem Europa und Südostasien.

Fazit: Open Source braucht mehr Security by Design

Coolify zeigt eindrücklich, wie schnell vertrauenswürdige Open-Source-Plattformen zum Risiko werden können, wenn Security nicht als integraler Teil des Entwicklungszyklus verstanden wird. Gerade im Spannungsfeld zwischen DevOps-Optimierung und Datenschutzanforderungen müssen Sicherheit, Automatisierung und Transparenz besser zusammenspielen.

Der aktuelle Fall sollte Entwickelnde, DevOps-Teams und Administratoren sensibilisieren, regelmäßig Sicherheits-Audits und Konfigurationschecks durchzuführen – nicht nur bei Coolify, sondern bei sämtlichen Komponenten ihrer digitalen Infrastruktur.

Diskutieren Sie mit uns: Haben Sie Coolify im Einsatz? Wie sichern Sie Ihre Instanzen ab? Schreiben Sie uns Ihre Perspektive in den Kommentaren oder vernetzen Sie sich mit Experten in unserer IT-Security-Community.

Tags:Content MarketingDigitalestrategiefeaturedSocialmediamarketingSuchmaschinenoptimierung
Schreibe ein Kommentar

Schreibe einen Kommentar

You Might Also Like