الثغرات ›

CVE-2025-59158

مرتفع ⚡ اختراق متاح

ثغرة XSS مخزنة في Coolify تتيح تصعيد الصلاحيات عبر أسماء المشاريع

CWE-116 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Coolify versions prior to and including v4.0.0-beta.420.6 are vulnerable to a stored cross-site scripting (XSS) attack in the project creation workflow. An authenticated user with low privileges (e.g., member role) can create a project with a maliciously crafted name containing embedded JavaScript. When an administrator later attempts to delete the project or its associated resource, the payload automatically executes in the admin’s browser context. Version 4.0.0-beta.420.7 contains a patch for the issue.

🤖 ملخص AI

Coolify versions up to v4.0.0-beta.420.6 contain a stored XSS vulnerability in project creation allowing low-privilege users to inject malicious scripts that execute in administrator contexts. The vulnerability is patched in version 4.0.0-beta.420.7 and requires immediate upgrade for affected deployments.

📄 الوصف (العربية)

ثغرة XSS المخزنة في Coolify تسمح لمستخدم مصرح لديه امتيازات منخفضة بإنشاء مشروع باسم يحتوي على كود JavaScript ضار. عند محاولة المسؤول حذف المشروع أو المورد المرتبط به، يتم تنفيذ الحمولة تلقائياً في سياق متصفح المسؤول. هذا يمكن أن يؤدي إلى سرقة جلسات العمل أو بيانات حساسة أو تنفيذ إجراءات غير مصرح بها.

🤖 ملخص تنفيذي (AI)

إصدارات Coolify حتى v4.0.0-beta.420.6 تحتوي على ثغرة XSS مخزنة في إنشاء المشاريع تسمح للمستخدمين ذوي الامتيازات المنخفضة بحقن نصوص برمجية ضارة تُنفذ في سياق المسؤول. تم إصلاح الثغرة في الإصدار 4.0.0-beta.420.7 ويتطلب ترقية فورية للنشرات المتأثرة.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 17:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom energy banking

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Coolify to version 4.0.0-beta.420.7 or later. Implement input validation and output encoding for all user-supplied data in project names. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security audit of all existing projects for malicious payloads. Restrict project creation privileges to trusted users only.

🔧 خطوات المعالجة (العربية)

قم بترقية Coolify فوراً إلى الإصدار 4.0.0-beta.420.7 أو أحدث. طبق التحقق من صحة الإدخال وترميز الإخراج لجميع البيانات المدخلة من المستخدم في أسماء المشاريع. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ النصوص البرمجية المضمنة. أجرِ تدقيق أمني لجميع المشاريع الموجودة للبحث عن الحمولات الضارة. قيد امتيازات إنشاء المشاريع للمستخدمين الموثوقين فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.13.1.1 A.13.2.1

🔗 المراجع والمصادر 1

🔗

https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 50 منتج

coollabs:coolify

coollabs:coolify:4.0.0

📊 CVSS Score

8.0

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.0

CWECWE-116

EPSS0.05%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-116

🏢 توجيهات البائع

🔗 https://github.com/coollabsio/coolify/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-59158

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب