Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. Coolify versions prior to and including v4.0.0-beta.420.6 are vulnerable to a stored cross-site scripting (XSS) attack in the project creation workflow. An authenticated user with low privileges (e.g., member role) can create a project with a maliciously crafted name containing embedded JavaScript. When an administrator later attempts to delete the project or its associated resource, the payload automatically executes in the admin’s browser context. Version 4.0.0-beta.420.7 contains a patch for the issue.
Coolify versions up to v4.0.0-beta.420.6 contain a stored cross-site scripting (XSS) vulnerability (CWE-116) in the project creation workflow. Low-privileged authenticated users can inject malicious JavaScript into project names that execute in administrator browser contexts during project deletion operations. Active exploits exist with a patch available in version 4.0.0-beta.420.7.
تؤثر هذه الثغرة الأمنية على منصة Coolify لإدارة الخوادم والتطبيقات وقواعد البيانات. تسمح الثغرة للمستخدمين ذوي الصلاحيات المحدودة (مثل دور العضو) بإنشاء مشاريع بأسماء تحتوي على أكواد JavaScript خبيثة مضمنة. عند محاولة المسؤول حذف المشروع أو الموارد المرتبطة به، يتم تنفيذ الكود الضار تلقائياً في سياق متصفح المسؤول، مما يمكّن المهاجم من تصعيد الصلاحيات والوصول إلى بيانات حساسة أو تنفيذ إجراءات إدارية غير مصرح بها. تصنف الثغرة ضمن CWE-116 المتعلقة بالتحقق غير الصحيح من مخرجات الترميز.
تحتوي إصدارات Coolify حتى v4.0.0-beta.420.6 على ثغرة حقن نصوص برمجية عبر المواقع (XSS) مخزنة (CWE-116) في سير عمل إنشاء المشاريع. يمكن للمستخدمين المصادق عليهم ذوي الصلاحيات المنخفضة حقن أكواد JavaScript ضارة في أسماء المشاريع والتي تُنفذ في سياق متصفح المسؤول أثناء عمليات حذف المشاريع. توجد استغلالات نشطة مع توفر تصحيح في الإصدار 4.0.0-beta.420.7.
1. Immediately upgrade all Coolify instances to version 4.0.0-beta.420.7 or later to apply the security patch addressing the stored XSS vulnerability
2. Conduct a comprehensive audit of all existing project names created by non-administrative users to identify and sanitize any potentially malicious JavaScript payloads embedded in project metadata
3. Implement additional input validation and output encoding controls for all user-supplied data fields, enforce Content Security Policy (CSP) headers, and restrict project creation privileges to trusted administrative users only
1. الترقية الفورية لجميع نسخ Coolify إلى الإصدار 4.0.0-beta.420.7 أو أحدث لتطبيق التصحيح الأمني الذي يعالج ثغرة XSS المخزنة
2. إجراء مراجعة شاملة لجميع أسماء المشاريع الموجودة التي أنشأها مستخدمون غير إداريين لتحديد وتنظيف أي أكواد JavaScript ضارة محتملة مضمنة في بيانات المشاريع الوصفية
3. تطبيق ضوابط إضافية للتحقق من المدخلات وترميز المخرجات لجميع حقول البيانات المقدمة من المستخدمين، وفرض رؤوس سياسة أمان المحتوى (CSP)، وتقييد صلاحيات إنشاء المشاريع للمستخدمين الإداريين الموثوقين فقط