Aikido
Commencer gratuitement
Sans carte bancaire
Blog
/
Aikido

Pentesting de Coolify piloté par l'IA : Sept CVE identifiées

Écrit par
Robbe Verwilghen
Publié le :
7 janvier 2026

Le pentest basé sur l'IA est souvent discuté en théorie. Pour évaluer ses performances en pratique, Aikido a mené une évaluation de sécurité de Coolify, une plateforme open-source auto-hébergée largement utilisée.

Coolify compte près de 50 000 étoiles GitHub et plus de 500 contributeurs. Il est activement maintenu et a fait l'objet d'un examen approfondi par la communauté. Comme de nombreux projets open-source matures, Coolify a déjà eu des vulnérabilités divulguées publiquement par le passé.

Cette évaluation a été menée sur une base de code mature avec un historique de vulnérabilités connu, sans alimenter le système d'IA avec des rapports antérieurs ou des problèmes précédemment divulgués. L'objectif était d'évaluer les performances d'Aikido Attack, un système de pentest IA, face à un environnement de production réel.

L'évaluation basée sur l'IA a permis d'identifier sept vulnérabilités de sécurité, toutes se sont vu attribuer des CVEs. Plusieurs de ces problèmes ont permis une élévation de privilèges au niveau administrateur ou une exécution de code à distance en tant que root sur le système hôte, entraînant une compromission totale de l'instance affectée.

Toutes les découvertes ont été divulguées de manière responsable à l'équipe Coolify et ont depuis été corrigées.

Voici les CVEs :

  • Contournement de la limite de taux lors de la connexion : CVE-2025-64422
  • Un utilisateur à faibles privilèges peut s'inviter en tant qu'utilisateur administrateur : CVE-2025-64421
  • Injection de commande via Docker Compose : CVE-2025-64419
  • Les utilisateurs à faibles privilèges peuvent voir et utiliser les liens d'invitation administrateur : CVE-2025-64423
  • Injection de commande via la configuration de la source git : CVE-2025-64424
  • Injection d'en-tête Host lors de la réinitialisation du mot de passe : CVE-2025-64425
  • Les membres peuvent voir la clé privée de l'utilisateur root : CVE-2025-64420

Approche de test

L'évaluation a ciblé Coolify version 4.0.0 beta 434, déployée en utilisant la méthode d'installation par défaut de Hetzner.

Les tests ont été effectués à l'aide de la solution de pentest IA d'Aikido. L'évaluation a combiné :

  • Tests automatisés en boîte noire des endpoints exposés et des flux applicatifs
  • Analyse en boîte blanche basée sur l'IA des chemins de code sensibles à la sécurité
  • Raisonnement continu sur la logique d'authentification, d'autorisation et d'exécution de commandes

Les agents IA se sont concentrés sur les zones communément associées aux vulnérabilités à fort impact dans les plateformes d'infrastructure, y compris les flux de connexion, les mécanismes d'invitation, les limites de permissions et les entrées contrôlées par l'utilisateur transmises aux commandes système.

Dans plusieurs cas, les agents IA ont découvert de manière indépendante des problèmes exploitables. Dans d'autres cas, des vulnérabilités ont été identifiées par une analyse manuelle et utilisées pour évaluer les lacunes de couverture de la génération actuelle d'agents.

Dans le cadre d'une recherche en sécurité responsable, toutes les découvertes ont été vérifiées avant divulgation pour confirmer l'exploitabilité et évaluer l'impact.

Aperçu des découvertes

Les vulnérabilités se répartissent dans les catégories suivantes :

  • Faiblesses d'authentification permettant des attaques par force brute
  • Multiples chemins d'escalade de privilèges à partir d'utilisateurs à faibles privilèges
  • Vulnérabilités d'injection de commande menant à l'exécution de code à distance
  • Exposition de credentials hautement sensibles

Découvertes détaillées

Découverte Sévérité Description Impact Avis
Contournement de la limite de débit lors de la connexion Faible Le /login le point de terminaison impose une limite de débit de 5 requêtes, qui peut être contournée en alternant le X-Forwarded-For en-tête. Permet le forçage de mot de passe par force brute GHSA-688j-rm43-5r8x
Un utilisateur à faibles privilèges peut s'inviter en tant qu'utilisateur administrateur Élevé Un utilisateur à faibles privilèges peut s'inviter en tant qu'administrateur et réinitialiser le mot de passe administrateur après avoir accepté l'invitation. Élévation de privilèges GHSA-4p6r-m39m-9cm9
Injection de commandes via Docker Compose Critique Des paramètres non assainis dans docker-compose.yaml permettent l'exécution de commandes en tant que root lors du déploiement d'un dépôt malveillant. Exécution de code à distance GHSA-234r-xrrg-m8f3
Réutilisation des liens d'invitation administrateur Élevé Les utilisateurs à faibles privilèges peuvent visualiser et réutiliser les liens d'invitation administrateur avant le destinataire prévu. Élévation de privilèges GHSA-4fqm-797g-7m6j
Injection de commandes via la configuration de source Git Critique L'injection de commandes dans les champs de configuration de source Git permet l'exécution de commandes système en tant que root. Exécution de code à distance GHSA-qx24-jhwj-8w6x
Injection d'en-tête Host lors de la réinitialisation de mot de passe Élevé La manipulation de l' Host en-tête lors de la réinitialisation du mot de passe peut rediriger les jetons de réinitialisation vers un domaine contrôlé par un attaquant. Prise de contrôle de compte GHSA-f737-2p93-g2cw
Exposition de la clé SSH privée root Critique Les utilisateurs à faibles privilèges peuvent accéder à la clé SSH privée de l'utilisateur root. Compromission totale de l'hôte GHSA-qwxj-qch7-whpc

Conclusion

Cette évaluation démontre comment le pentest IA peut être utilisé pour identifier des vulnérabilités à fort impact dans des systèmes open source complexes de niveau production.

L'évaluation par pentest IA de Coolify a révélé sept CVE, incluant de multiples chemins d'escalade de privilèges et plusieurs voies menant à une compromission totale de l'hôte. Alors que certaines découvertes ont été mises en évidence directement par des agents IA, d'autres ont nécessité une intervention humaine pour valider l'exploitabilité, fournir un contexte supplémentaire ou identifier des lacunes dans la couverture actuelle.

Cette boucle de rétroaction est une partie délibérée de la manière dont Aikido développe son système de pentest IA. L'intervention humaine à ce stade améliore la qualité globale en réduisant les faux positifs et en informant la prochaine génération d'agents pour étendre la couverture et la profondeur au fil du temps.

Ensemble, ces résultats soulignent à la fois l'efficacité actuelle du pentest IA et la voie vers l'amélioration continue des tests de sécurité autonomes à grande échelle.

En savoir plus sur Aikido Attack ici.

Dernière mise à jour le :
7 janvier 2026
Partager :

https://www.aikido.dev/blog/ai-pentesting-coolify-cves

Abonnez-vous pour les actualités sur les menaces.

Articles similaires
Voir tout
Voir tout
26 février 2026
« • »
Aikido

Présentation Aikido : un nouveau modèle de logiciel auto-sécurisé

Aikido effectue des tests de pénétration IA à chaque modification du code, valide l'exploitabilité, génère des correctifs et reteste les corrections avant que le code ne soit mis en production, faisant ainsi des logiciels auto-sécurisés une réalité.

#
Tests d'intrusion IA
#
Annonces
#
Logiciel auto-sécurisant
26 mai 2025
« • »
Aikido

Présentation de Aikido AI Cloud Search

Recherchez dans votre cloud comme dans une base de données. Obtenez une visibilité instantanée sur votre environnement cloud avec Aikido Cloud Search. Que vous souhaitiez identifier des bases de données exposées, des machines virtuelles vulnérables ou des rôles IAM trop permissifs — Aikido vous donne le pouvoir de découvrir les risques en quelques secondes.

#
Cloud

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer l’analyse
Sans carte bancaire
Planifiez une démo
Aucune carte de crédit requise | Résultats en 32 secondes.