CVE-2025-34157
KrytyczneCVSS 9.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 - wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność typu stored XSS w Coolify przed wersją v4.0.0-beta.420.6 umożliwia uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wstrzyknięcie złośliwego JavaScriptu w nazwę projektu. Kod wykonuje się w przeglądarce administratora podczas próby usunięcia projektu lub powiązanego zasobu.
Ocena ryzyka
Atak prowadzi do pełnego przejęcia instancji Coolify, w tym kradzieży tokenów API, ciasteczek sesyjnych oraz dostępu do sesji terminalowych WebSocket na zarządzanych serwerach.
Rekomendacja
Należy niezwłocznie zaktualizować Coolify do wersji v4.0.0-beta.420.6 lub nowszej. Do czasu aktualizacji zaleca się ograniczenie uprawnień użytkowników oraz ręczne sprawdzanie nazw projektów przed ich usunięciem.
Oryginalny opis (angielski, źródło NVD)
Coolify versions prior to v4.0.0-beta.420.6 are vulnerable to a stored cross-site scripting (XSS) attack in the project creation workflow. An authenticated user with low privileges can create a project with a maliciously crafted name containing embedded JavaScript. When an administrator attempts to delete the project or its associated resource, the payload executes in the admin’s browser context. This results in full compromise of the Coolify instance, including theft of API tokens, session cookies, and access to WebSocket-based terminal sessions on managed servers.

