الثغرات ›

CVE-2025-59158

مرتفع ⚡ اختراق متاح

ثغرة XSS مخزنة في Coolify تتيح تصعيد الصلاحيات عبر أسماء المشاريع

CWE-116 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Coolify versions prior to and including v4.0.0-beta.420.6 are vulnerable to a stored cross-site scripting (XSS) attack in the project creation workflow. An authenticated user with low privileges (e.g., member role) can create a project with a maliciously crafted name containing embedded JavaScript. When an administrator later attempts to delete the project or its associated resource, the payload automatically executes in the admin’s browser context. Version 4.0.0-beta.420.7 contains a patch for the issue.

🤖 ملخص AI

Coolify versions up to v4.0.0-beta.420.6 contain a stored cross-site scripting (XSS) vulnerability (CWE-116) in the project creation workflow. Low-privileged authenticated users can inject malicious JavaScript into project names that execute in administrator browser contexts during project deletion operations. Active exploits exist with a patch available in version 4.0.0-beta.420.7.

📄 الوصف (العربية)

تؤثر هذه الثغرة الأمنية على منصة Coolify لإدارة الخوادم والتطبيقات وقواعد البيانات. تسمح الثغرة للمستخدمين ذوي الصلاحيات المحدودة (مثل دور العضو) بإنشاء مشاريع بأسماء تحتوي على أكواد JavaScript خبيثة مضمنة. عند محاولة المسؤول حذف المشروع أو الموارد المرتبطة به، يتم تنفيذ الكود الضار تلقائياً في سياق متصفح المسؤول، مما يمكّن المهاجم من تصعيد الصلاحيات والوصول إلى بيانات حساسة أو تنفيذ إجراءات إدارية غير مصرح بها. تصنف الثغرة ضمن CWE-116 المتعلقة بالتحقق غير الصحيح من مخرجات الترميز.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Coolify حتى v4.0.0-beta.420.6 على ثغرة حقن نصوص برمجية عبر المواقع (XSS) مخزنة (CWE-116) في سير عمل إنشاء المشاريع. يمكن للمستخدمين المصادق عليهم ذوي الصلاحيات المنخفضة حقن أكواد JavaScript ضارة في أسماء المشاريع والتي تُنفذ في سياق متصفح المسؤول أثناء عمليات حذف المشاريع. توجد استغلالات نشطة مع توفر تصحيح في الإصدار 4.0.0-beta.420.7.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 07:27

🇸🇦 التأثير على المملكة العربية السعودية

Organizations in Saudi Arabia using Coolify for DevOps infrastructure management face critical risks of administrative account compromise and unauthorized access to sensitive server configurations, databases, and application deployments. This vulnerability enables insider threats and privilege escalation attacks that could violate NCA ECC controls for access management and SAMA CSF requirements for secure system administration.

🏢 القطاعات السعودية المتأثرة

تقنية المعلومات والاتصالات الخدمات المالية والمصرفية الخدمات الحكومية التجارة الإلكترونية الرعاية الصحية التعليم

🎯 تقنيات MITRE ATT&CK

T1059.007 T1078.003 T1134 T1548 T1068 T1203

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade all Coolify instances to version 4.0.0-beta.420.7 or later to apply the security patch addressing the stored XSS vulnerability

2. Conduct a comprehensive audit of all existing project names created by non-administrative users to identify and sanitize any potentially malicious JavaScript payloads embedded in project metadata

3. Implement additional input validation and output encoding controls for all user-supplied data fields, enforce Content Security Policy (CSP) headers, and restrict project creation privileges to trusted administrative users only

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لجميع نسخ Coolify إلى الإصدار 4.0.0-beta.420.7 أو أحدث لتطبيق التصحيح الأمني الذي يعالج ثغرة XSS المخزنة

2. إجراء مراجعة شاملة لجميع أسماء المشاريع الموجودة التي أنشأها مستخدمون غير إداريين لتحديد وتنظيف أي أكواد JavaScript ضارة محتملة مضمنة في بيانات المشاريع الوصفية

3. تطبيق ضوابط إضافية للتحقق من المدخلات وترميز المخرجات لجميع حقول البيانات المقدمة من المستخدمين، وفرض رؤوس سياسة أمان المحتوى (CSP)، وتقييد صلاحيات إنشاء المشاريع للمستخدمين الإداريين الموثوقين فقط

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

1-2-1 (Secure Development Lifecycle) 1-3-1 (Input Validation) 2-1-1 (Access Control) 3-1-1 (Vulnerability Management) 5-1-2 (Security Monitoring)

🔵 SAMA CSF

CCC-01 (Cybersecurity Controls) CCC-04 (Vulnerability and Patch Management) IAM-01 (Identity and Access Management) TVM-01 (Threat and Vulnerability Management) APP-02 (Application Security)

🟡 ISO 27001:2022

A.8.22 (Segregation of duties) A.8.3 (Privileged access rights) A.14.2.1 (Secure development policy) A.14.2.5 (Secure system engineering principles) A.18.1.3 (Protection of records)

🔗 المراجع والمصادر 1

🔗

https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 50 منتج

coollabs:coolify

coollabs:coolify:4.0.0

📊 CVSS Score

8.0

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.0

CWECWE-116

EPSS0.05%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-116

🏢 توجيهات البائع

🔗 https://github.com/coollabsio/coolify/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-59158

عرّفنا بنفسك

تسجيل الدخول مطلوب