Vulnerabilities ›

CVE-2025-59158

High ⚡ Exploit Available

Coolify Stored XSS Vulnerability Enables Privilege Escalation via Project Names

CWE-116 — Weakness Type

                    Published: Jan 5, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.0

🔗 NVD Official

📄 Description (English)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Coolify versions prior to and including v4.0.0-beta.420.6 are vulnerable to a stored cross-site scripting (XSS) attack in the project creation workflow. An authenticated user with low privileges (e.g., member role) can create a project with a maliciously crafted name containing embedded JavaScript. When an administrator later attempts to delete the project or its associated resource, the payload automatically executes in the admin’s browser context. Version 4.0.0-beta.420.7 contains a patch for the issue.

🤖 AI Executive Summary

Coolify versions up to v4.0.0-beta.420.6 contain a stored cross-site scripting (XSS) vulnerability (CWE-116) in the project creation workflow. Low-privileged authenticated users can inject malicious JavaScript into project names that execute in administrator browser contexts during project deletion operations. Active exploits exist with a patch available in version 4.0.0-beta.420.7.

📄 Description (Arabic)

تؤثر هذه الثغرة الأمنية على منصة Coolify لإدارة الخوادم والتطبيقات وقواعد البيانات. تسمح الثغرة للمستخدمين ذوي الصلاحيات المحدودة (مثل دور العضو) بإنشاء مشاريع بأسماء تحتوي على أكواد JavaScript خبيثة مضمنة. عند محاولة المسؤول حذف المشروع أو الموارد المرتبطة به، يتم تنفيذ الكود الضار تلقائياً في سياق متصفح المسؤول، مما يمكّن المهاجم من تصعيد الصلاحيات والوصول إلى بيانات حساسة أو تنفيذ إجراءات إدارية غير مصرح بها. تصنف الثغرة ضمن CWE-116 المتعلقة بالتحقق غير الصحيح من مخرجات الترميز.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Coolify حتى v4.0.0-beta.420.6 على ثغرة حقن نصوص برمجية عبر المواقع (XSS) مخزنة (CWE-116) في سير عمل إنشاء المشاريع. يمكن للمستخدمين المصادق عليهم ذوي الصلاحيات المنخفضة حقن أكواد JavaScript ضارة في أسماء المشاريع والتي تُنفذ في سياق متصفح المسؤول أثناء عمليات حذف المشاريع. توجد استغلالات نشطة مع توفر تصحيح في الإصدار 4.0.0-beta.420.7.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:27

🇸🇦 Saudi Arabia Impact Assessment

Organizations in Saudi Arabia using Coolify for DevOps infrastructure management face critical risks of administrative account compromise and unauthorized access to sensitive server configurations, databases, and application deployments. This vulnerability enables insider threats and privilege escalation attacks that could violate NCA ECC controls for access management and SAMA CSF requirements for secure system administration.

🏢 Affected Saudi Sectors

تقنية المعلومات والاتصالات الخدمات المالية والمصرفية الخدمات الحكومية التجارة الإلكترونية الرعاية الصحية التعليم

🎯 MITRE ATT&CK Techniques

T1059.007 T1078.003 T1134 T1548 T1068 T1203

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade all Coolify instances to version 4.0.0-beta.420.7 or later to apply the security patch addressing the stored XSS vulnerability

2. Conduct a comprehensive audit of all existing project names created by non-administrative users to identify and sanitize any potentially malicious JavaScript payloads embedded in project metadata

3. Implement additional input validation and output encoding controls for all user-supplied data fields, enforce Content Security Policy (CSP) headers, and restrict project creation privileges to trusted administrative users only

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لجميع نسخ Coolify إلى الإصدار 4.0.0-beta.420.7 أو أحدث لتطبيق التصحيح الأمني الذي يعالج ثغرة XSS المخزنة

2. إجراء مراجعة شاملة لجميع أسماء المشاريع الموجودة التي أنشأها مستخدمون غير إداريين لتحديد وتنظيف أي أكواد JavaScript ضارة محتملة مضمنة في بيانات المشاريع الوصفية

3. تطبيق ضوابط إضافية للتحقق من المدخلات وترميز المخرجات لجميع حقول البيانات المقدمة من المستخدمين، وفرض رؤوس سياسة أمان المحتوى (CSP)، وتقييد صلاحيات إنشاء المشاريع للمستخدمين الإداريين الموثوقين فقط

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

1-2-1 (Secure Development Lifecycle) 1-3-1 (Input Validation) 2-1-1 (Access Control) 3-1-1 (Vulnerability Management) 5-1-2 (Security Monitoring)

🔵 SAMA CSF

CCC-01 (Cybersecurity Controls) CCC-04 (Vulnerability and Patch Management) IAM-01 (Identity and Access Management) TVM-01 (Threat and Vulnerability Management) APP-02 (Application Security)

🟡 ISO 27001:2022

A.8.22 (Segregation of duties) A.8.3 (Privileged access rights) A.14.2.1 (Secure development policy) A.14.2.5 (Secure system engineering principles) A.18.1.3 (Protection of records)

🔗 References & Sources 1

🔗

https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 50 entries

coollabs:coolify

coollabs:coolify:4.0.0

📊 CVSS Score

8.0

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.0

CWECWE-116

EPSS0.05%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-05

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-116

🏢 Vendor Advisories

🔗 https://github.com/coollabsio/coolify/security/advis...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-59158

Introduce Yourself

Sign In Required