Aikido
Essai gratuit
Sans CB
Blog
/
Aikido

Pentesting de Coolify piloté par l'IA : Sept CVE identifiées

Robbe VerwilghenRobbe Verwilghen
|
#Pentesting IA
Publié le :
7 janvier 2026
Dernière mise à jour le :
7 janvier 2026

Les tests d'intrusion basés sur l'IA font souvent l'objet de discussions théoriques. Afin d'évaluer leur efficacité dans la pratique, Aikido une évaluation de la sécurité de Coolify, une plateforme open source auto-hébergée largement utilisée.

Coolify compte près de 50 000 étoiles GitHub et plus de 500 contributeurs. Il est activement maintenu et a fait l'objet d'un examen approfondi par la communauté. Comme beaucoup de projets open source matures, Coolify a vu certaines de ses vulnérabilités divulguées publiquement par le passé.

Cette évaluation a été réalisée sur une base de code mature présentant un historique de vulnérabilités connu, sans alimenter le système d'IA avec des rapports antérieurs ou des problèmes déjà divulgués. L'objectif était d'évaluer comment Aikido , un pentest IA , dans un environnement de production réel.

L'évaluation basée sur l'IA a permis d'identifier sept vulnérabilités de sécurité, qui ont toutes reçu un numéro CVE. Plusieurs de ces problèmes ont permis une élévation des privilèges au niveau administrateur ou l'exécution de code à distance en tant que root sur le système hôte, entraînant la compromission totale de l'instance affectée.

Toutes les découvertes ont été communiquées de manière responsable à l'équipe Coolify et ont depuis été corrigées.

Voici les CVE :

  • Contournement de la limite de débit lors de la connexion : CVE-2025-64422
  • Un utilisateur disposant de faibles privilèges peut s'inviter lui-même en tant qu'utilisateur administrateur : CVE-2025-64421
  • Injection de commande via Docker Compose : CVE-2025-64419
  • Les utilisateurs disposant de privilèges limités peuvent voir et utiliser les liens d'invitation de l'administrateur : CVE-2025-64423
  • Injection de commande via la configuration source git : CVE-2025-64424
  • Injection d'en-tête hôte dans la fonction « Mot de passe oublié » : CVE-2025-64425
  • Les membres peuvent voir la clé privée de l'utilisateur root : CVE-2025-64420

Approche de test

L'évaluation a porté sur la version 4.0.0 beta 434 de Coolify, déployée à l'aide de la méthode d'installation par défaut de Hetzner.

Les tests ont été réalisés à l'aide de pentest IA Aikido. L'évaluation combinait :

  • Test automatisé de type « boîte noire » des points d'extrémité exposés et des flux d'application
  • Analyse en boîte blanche basée sur l'IA des chemins de code sensibles en matière de sécurité
  • Raisonnement continu à travers l'authentification, l'autorisation et la logique d'exécution des commandes

Les agents IA se sont concentrés sur les domaines généralement associés à des vulnérabilités à fort impact dans les plateformes d'infrastructure, notamment les flux de connexion, les mécanismes d'invitation, les limites d'autorisation et les entrées contrôlées par l'utilisateur transmises aux commandes système.

Dans plusieurs cas, les agents IA ont mis en évidence de manière indépendante des problèmes exploitables. Dans d'autres cas, les vulnérabilités ont été identifiées grâce à une analyse manuelle et utilisées pour évaluer les lacunes de couverture de la génération actuelle d'agents.

Dans le cadre d'une recherche responsable en matière de sécurité, toutes les découvertes ont été vérifiées avant leur divulgation afin de confirmer leur exploitabilité et d'évaluer leur impact.

Aperçu des résultats

Les vulnérabilités se répartissent dans les catégories suivantes :

  • Faiblesses d'authentification permettant des attaques par force brute
  • Plusieurs chemins d'escalade de privilèges à partir d'utilisateurs à faibles privilèges
  • Vulnérabilités d'injection de commande conduisant à l'exécution de code à distance
  • Divulgation d'informations d'identification hautement sensibles

Conclusions détaillées

Conclusion Gravité Description Impact Avis
Contournement de la limite de débit lors de la connexion Faible Le /connexion Le point de terminaison applique une limite de débit de 5 requêtes, qui peut être contournée en faisant tourner le X-Forwarded-For en-tête. Active le piratage par force brute des mots de passe GHSA-688j-rm43-5r8x
Les utilisateurs disposant de privilèges limités peuvent s'inviter eux-mêmes en tant qu'utilisateurs administrateurs. Élevé Un utilisateur disposant de peu de privilèges peut s'inviter lui-même en tant qu'administrateur et réinitialiser le mot de passe administrateur après avoir accepté l'invitation. Élévation des privilèges GHSA-4p6r-m39m-9cm9
Injection de commande via Docker Compose Critique Paramètres non désinfectés dans docker-compose.yaml autoriser l'exécution de commandes en tant que root lors du déploiement d'un référentiel malveillant. Exécution de code à distance GHSA-234r-xrrg-m8f3
Réutilisation des liens d'invitation administrateur Élevé Les utilisateurs disposant de privilèges limités peuvent consulter et réutiliser les liens d'invitation de l'administrateur avant le destinataire prévu. Élévation des privilèges GHSA-4fqm-797g-7m6j
Injection de commande via la configuration source Git Critique L'injection de commandes dans les champs de configuration source Git permet l'exécution de commandes système en tant qu'administrateur. Exécution de code à distance GHSA-qx24-jhwj-8w6x
Injection d'en-tête d'hôte dans la réinitialisation du mot de passe Élevé Manipulation du Hôte L'en-tête lors de la réinitialisation du mot de passe peut rediriger les jetons de réinitialisation vers un domaine contrôlé par un pirate. Prise de contrôle de compte GHSA-f737-2p93-g2cw
Exposition de la clé privée SSH racine Critique Les utilisateurs disposant de privilèges limités peuvent accéder à la clé SSH privée de l'utilisateur root. Compromission complète de l'hôte GHSA-qwxj-qch7-whpc

Conclusion

Cette évaluation démontre comment les tests d'intrusion basés sur l'IA peuvent être utilisés pour identifier les vulnérabilités à fort impact dans les systèmes open source complexes et de niveau production.

L'évaluation de Coolify par l'IA a permis d'identifier sept CVE, dont plusieurs voies d'escalade des privilèges et plusieurs moyens de compromettre entièrement l'hôte. Si certaines découvertes ont été directement mises en évidence par les agents IA, d'autres ont nécessité l'intervention humaine pour valider leur exploitabilité, fournir un contexte supplémentaire ou identifier des lacunes dans la couverture actuelle.

Cette boucle de rétroaction fait partie intégrante de la manière dont Aikido son pentest IA . L'intervention humaine à ce stade améliore la qualité globale en réduisant les faux positifs et en informant la prochaine génération d'agents afin d'étendre la couverture et la profondeur au fil du temps.

Ensemble, ces résultats soulignent à la fois l'efficacité actuelle des tests d'intrusion basés sur l'IA et la voie à suivre pour améliorer en permanence les tests de sécurité autonomes à grande échelle.

Pour en savoir plus sur Aikido , cliquez ici.

4.7/5

Sécurisez votre logiciel dès maintenant.

Essai gratuit
Sans CB
Réservez une démo
Vos données ne seront pas partagées - Accès en lecture seule - Pas de CB nécessaire
Écrit par
Robbe Verwilghen

Robbe est chasseur de primes chez Aikido, où il se concentre principalement sur les ressources Web et mobiles. Il possède une expérience en tant que testeur d'intrusion.

Aller à :
Lien texte

Sécurisez votre logiciel dès maintenant.

Réservez une démonstration du test d'intrusion IA

Essai gratuit
Réserver maintenant
Sans CB
Réserver maintenant
Essai gratuit
Réserver maintenant
Sans CB
Réserver maintenant
Réservez une démo
Partager :

https://www.aikido.dev/blog/ai-pentesting-coolify-cves

Articles similaires
14 janvier 2026

De « No Bullsh*t Security » à 1 milliard de dollars : Nous venons de lever 60 millions de dollars en série B

Aikido annonce un financement de série B de 60 millions de dollars, valorisant l'entreprise à 1 milliard de dollars, accélérant sa vision d'un logiciel auto-sécurisé et de tests d'intrusion continus.

Tags/
15 décembre 2025

SAST l'IDE est désormais gratuit : déplacer SAST où le développement se fait réellement

Exécutez gratuitement SAST directement dans votre IDE avec un retour d'information en temps réel et une visibilité à l'échelle du projet. Utilisez les mêmes SAST et le même moteur SAST Aikido, avec la fonction AutoFix en option pour les résultats pris en charge.

Tags/
28 novembre 2025

SCA : analysez et corrigez les dépendances open source dans votre IDE

Intégrez l'ensemble SCA dans votre IDE grâce à l'analyse dans l'éditeur et à la correction automatique. Détectez les paquets vulnérables, examinez les CVE et appliquez des mises à niveau sécurisées sans quitter votre workflow de développement.

Tags/

Sécurisez-vous maintenant.

Sécuriser votre code, votre cloud et votre runtime dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer le scan
Sans CB
Réservez une démo
Pas de carte de crédit requise | Résultats du scan en 32 secondes.

#Pentesting IA