Web3のインフラストラクチャを支えるセルフホスティング環境において、極めて深刻なセキュリティリスクが浮上しました。オープンソースのセルフホスティングプラットフォーム「Coolify」に関して、合計11件に及ぶ重大な脆弱性がサイバーセキュリティ研究者によって開示されました。これらの欠陥群は、認証バイパスからリモートコード実行(RCE)に至る広範な影響を及ぼし、結果としてサーバーの完全な侵害(Full Server Compromise)を可能にします。特に注目すべきは、CVSSスコア10.0の最高評価を受けた「CVE-2025-66209」です。これはデータベースバックアップ機能におけるコマンドインジェクションの脆弱性であり、認証済みユーザーであれば悪用が可能です。セルフホスト型のインフラ上でノードやツールを運用するWeb3プロジェクトチームにとって、これはインフラレイヤーの信頼性を根本から揺るがす警告です。認証済みセッションのセキュリティが破られた場合、DeFiプロトコルや重要な開発環境が危険に晒されます。Coolifyのユーザーは直ちにパッチを適用し、認証済みの最低権限ユーザーに対するアクセス制御を見直す緊急の対応が求められます。
Source: Coolify Discloses 11 Critical Flaws Enabling Full Server Compromise on Self-Hosted Instances
コメント