Vulnerabilities ›

CVE-2025-59158

High ⚡ Exploit Available

Coolify Stored XSS Vulnerability Enables Privilege Escalation via Project Names

CWE-116 — Weakness Type

                    Published: Jan 5, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.0

🔗 NVD Official

📄 Description (English)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Coolify versions prior to and including v4.0.0-beta.420.6 are vulnerable to a stored cross-site scripting (XSS) attack in the project creation workflow. An authenticated user with low privileges (e.g., member role) can create a project with a maliciously crafted name containing embedded JavaScript. When an administrator later attempts to delete the project or its associated resource, the payload automatically executes in the admin’s browser context. Version 4.0.0-beta.420.7 contains a patch for the issue.

🤖 AI Executive Summary

Coolify versions up to v4.0.0-beta.420.6 contain a stored XSS vulnerability in project creation allowing low-privilege users to inject malicious scripts that execute in administrator contexts. The vulnerability is patched in version 4.0.0-beta.420.7 and requires immediate upgrade for affected deployments.

📄 Description (Arabic)

ثغرة XSS المخزنة في Coolify تسمح لمستخدم مصرح لديه امتيازات منخفضة بإنشاء مشروع باسم يحتوي على كود JavaScript ضار. عند محاولة المسؤول حذف المشروع أو المورد المرتبط به، يتم تنفيذ الحمولة تلقائياً في سياق متصفح المسؤول. هذا يمكن أن يؤدي إلى سرقة جلسات العمل أو بيانات حساسة أو تنفيذ إجراءات غير مصرح بها.

🤖 ملخص تنفيذي (AI)

إصدارات Coolify حتى v4.0.0-beta.420.6 تحتوي على ثغرة XSS مخزنة في إنشاء المشاريع تسمح للمستخدمين ذوي الامتيازات المنخفضة بحقن نصوص برمجية ضارة تُنفذ في سياق المسؤول. تم إصلاح الثغرة في الإصدار 4.0.0-beta.420.7 ويتطلب ترقية فورية للنشرات المتأثرة.

🤖 AI Intelligence Analysis Analyzed: May 1, 2026 17:17

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom energy banking

🎯 MITRE ATT&CK Techniques

T1190 T1598 T1566

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Coolify to version 4.0.0-beta.420.7 or later. Implement input validation and output encoding for all user-supplied data in project names. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security audit of all existing projects for malicious payloads. Restrict project creation privileges to trusted users only.

🔧 خطوات المعالجة (العربية)

قم بترقية Coolify فوراً إلى الإصدار 4.0.0-beta.420.7 أو أحدث. طبق التحقق من صحة الإدخال وترميز الإخراج لجميع البيانات المدخلة من المستخدم في أسماء المشاريع. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ النصوص البرمجية المضمنة. أجرِ تدقيق أمني لجميع المشاريع الموجودة للبحث عن الحمولات الضارة. قيد امتيازات إنشاء المشاريع للمستخدمين الموثوقين فقط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.13.1.1 A.13.2.1

🔗 References & Sources 1

🔗

https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 50 entries

coollabs:coolify

coollabs:coolify:4.0.0

📊 CVSS Score

8.0

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.0

CWECWE-116

EPSS0.05%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-05

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-116

🏢 Vendor Advisories

🔗 https://github.com/coollabsio/coolify/security/advis...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2025-59158

💬 Comments

Introduce Yourself

Sign In Required