CVE-2025-64422

See a problem?
Please try reporting it to the source first.
Source
https://cve.org/CVERecord?id=CVE-2025-64422
Import Source
https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-64422.json
JSON Data
https://api.osv.dev/v1/vulns/CVE-2025-64422
Aliases
  • GHSA-688j-rm43-5r8x
Published
2026-01-05T20:29:34.750Z
Modified
2026-03-10T21:53:02.393272Z
Severity
  • 5.5 (Medium) CVSS_V4 - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:P CVSS Calculator
Summary
Rate-limit bypass on login via X-Forwarded-Host header
Details

Coolify is an open-source and self-hostable tool for managing servers, applications, and databases. In Coolify vstarting with version 4.0.0-beta.434, the /login endpoint advertises a rate limit of 5 requests but can be trivially bypassed by rotating the X-Forwarded-For header. This enables unlimited credential stuffing and brute-force attempts against user and admin accounts. As of time of publication, it is unclear if a patch is available.

Database specific 
{
    "cna_assigner": "GitHub_M",
    "cwe_ids": [
        "CWE-770"
    ],
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/64xxx/CVE-2025-64422.json"
}
References

Affected packages

Git / github.com/coollabsio/coolify

Affected ranges

Type
GIT
Repo
https://github.com/coollabsio/coolify
Events
Introduced
0 Unknown introduced commit / All previous commits are affected
Last affected
b474eb411da779bb9be5a028e68351b15c558517
Database specific 
{
    "versions": [
        {
            "introduced": "0"
        },
        {
            "last_affected": ">= 4.0.0-beta.434"
        }
    ]
}

Affected versions

4.*
4.0.0-beta.39
4.0.0-beta.40
v1.*
v1.0.0
v1.0.1
v1.0.10
v1.0.11
v1.0.12
v1.0.13
v1.0.14
v1.0.15
v1.0.16
v1.0.17
v1.0.18
v1.0.19
v1.0.20
v1.0.21
v1.0.22
v1.0.23
v1.0.24
v1.0.3
v1.0.4
v1.0.5
v1.0.6
v1.0.7
v1.0.8
v1.0.9
v2.*
v2.0.0
v2.0.10
v2.0.11
v2.0.12
v2.0.13
v2.0.14
v2.0.15
v2.0.16
v2.0.17
v2.0.18
v2.0.19
v2.0.2
v2.0.20
v2.0.21
v2.0.22
v2.0.23
v2.0.24
v2.0.25
v2.0.26
v2.0.27
v2.0.28
v2.0.29
v2.0.3
v2.0.30
v2.0.31
v2.0.32
v2.0.4
v2.0.5
v2.0.6
v2.0.7
v2.0.8
v2.1.0
v2.1.1
v2.2.0
v2.2.3
v2.2.4
v2.2.5
v2.2.6
v2.2.7
v2.3.0
v2.3.1
v2.3.2
v2.3.3
v2.4.0
v2.4.1
v2.4.10
v2.4.11
v2.4.2
v2.4.3
v2.4.4
v2.4.5
v2.4.6
v2.4.7
v2.4.8
v2.4.9
v2.5.0
v2.5.1
v2.5.2
v2.6.0
v2.6.1
v2.6.2
v2.6.3
v2.7.0
v2.8.0
v2.8.1
v2.8.2
v2.9.0
v2.9.1
v2.9.10
v2.9.11
v2.9.2
v2.9.3
v2.9.4
v2.9.5
v2.9.6
v2.9.7
v2.9.8
v2.9.9
v3.*
v3.0.0
v3.0.1
v3.0.2
v3.0.3
v3.1.0
v3.1.1
v3.1.2
v3.1.3
v3.1.4
v3.10.0
v3.10.1
v3.10.10
v3.10.11
v3.10.12
v3.10.13
v3.10.14
v3.10.15
v3.10.16
v3.10.2
v3.10.3
v3.10.4
v3.10.5
v3.10.6
v3.10.7
v3.10.8
v3.10.9
v3.11.0
v3.11.1
v3.11.10
v3.11.11
v3.11.12
v3.11.13
v3.11.2
v3.11.3
v3.11.4
v3.11.5
v3.11.6
v3.11.7
v3.11.8
v3.11.9
v3.12.0
v3.12.1
v3.12.10
v3.12.11
v3.12.12
v3.12.13
v3.12.14
v3.12.15
v3.12.16
v3.12.17
v3.12.18
v3.12.19
v3.12.2
v3.12.20
v3.12.21
v3.12.22
v3.12.23
v3.12.24
v3.12.25
v3.12.26
v3.12.27
v3.12.28
v3.12.3
v3.12.4
v3.12.5
v3.12.6
v3.12.7
v3.12.8
v3.12.9
v3.2.0
v3.2.1
v3.2.2
v3.2.3
v3.3.0
v3.3.1
v3.3.2
v3.3.3
v3.3.4
v3.4.0
v3.5.0
v3.5.1
v3.5.2
v3.6.0
v3.7.0
v3.8.0
v3.8.1
v3.8.2
v3.8.3
v3.8.4
v3.8.5
v3.8.6
v3.8.7
v3.8.8
v3.8.9
v3.9.0
v3.9.0-rc.1
v3.9.0-rc.2
v3.9.1
v3.9.1-rc.1
v3.9.2
v3.9.3
v3.9.4
v4.*
v4.0.0-beta.100
v4.0.0-beta.101
v4.0.0-beta.102
v4.0.0-beta.103
v4.0.0-beta.104
v4.0.0-beta.105
v4.0.0-beta.106
v4.0.0-beta.107
v4.0.0-beta.108
v4.0.0-beta.109
v4.0.0-beta.110
v4.0.0-beta.111
v4.0.0-beta.112
v4.0.0-beta.113
v4.0.0-beta.114
v4.0.0-beta.115
v4.0.0-beta.116
v4.0.0-beta.117
v4.0.0-beta.118
v4.0.0-beta.119
v4.0.0-beta.120
v4.0.0-beta.121
v4.0.0-beta.122
v4.0.0-beta.123
v4.0.0-beta.124
v4.0.0-beta.125
v4.0.0-beta.126
v4.0.0-beta.127
v4.0.0-beta.128
v4.0.0-beta.129
v4.0.0-beta.130
v4.0.0-beta.131
v4.0.0-beta.132
v4.0.0-beta.133
v4.0.0-beta.134
v4.0.0-beta.135
v4.0.0-beta.136
v4.0.0-beta.137
v4.0.0-beta.138
v4.0.0-beta.139
v4.0.0-beta.140
v4.0.0-beta.141
v4.0.0-beta.142
v4.0.0-beta.143
v4.0.0-beta.144
v4.0.0-beta.145
v4.0.0-beta.146
v4.0.0-beta.147
v4.0.0-beta.148
v4.0.0-beta.149
v4.0.0-beta.150
v4.0.0-beta.151
v4.0.0-beta.152
v4.0.0-beta.153
v4.0.0-beta.154
v4.0.0-beta.155
v4.0.0-beta.156
v4.0.0-beta.157
v4.0.0-beta.158
v4.0.0-beta.159
v4.0.0-beta.160
v4.0.0-beta.161
v4.0.0-beta.162
v4.0.0-beta.163
v4.0.0-beta.164
v4.0.0-beta.165
v4.0.0-beta.166
v4.0.0-beta.167
v4.0.0-beta.168
v4.0.0-beta.169
v4.0.0-beta.170
v4.0.0-beta.171
v4.0.0-beta.172
v4.0.0-beta.173
v4.0.0-beta.174
v4.0.0-beta.175
v4.0.0-beta.176
v4.0.0-beta.177
v4.0.0-beta.178
v4.0.0-beta.179
v4.0.0-beta.18
v4.0.0-beta.180
v4.0.0-beta.181
v4.0.0-beta.182
v4.0.0-beta.183
v4.0.0-beta.184
v4.0.0-beta.185
v4.0.0-beta.186
v4.0.0-beta.187
v4.0.0-beta.188
v4.0.0-beta.189
v4.0.0-beta.19
v4.0.0-beta.190
v4.0.0-beta.191
v4.0.0-beta.192
v4.0.0-beta.193
v4.0.0-beta.194
v4.0.0-beta.195
v4.0.0-beta.196
v4.0.0-beta.197
v4.0.0-beta.198
v4.0.0-beta.199
v4.0.0-beta.20
v4.0.0-beta.200
v4.0.0-beta.201
v4.0.0-beta.202
v4.0.0-beta.203
v4.0.0-beta.204
v4.0.0-beta.205
v4.0.0-beta.206
v4.0.0-beta.207
v4.0.0-beta.208
v4.0.0-beta.209
v4.0.0-beta.21
v4.0.0-beta.211
v4.0.0-beta.212
v4.0.0-beta.213
v4.0.0-beta.214
v4.0.0-beta.215
v4.0.0-beta.216
v4.0.0-beta.217
v4.0.0-beta.218
v4.0.0-beta.219
v4.0.0-beta.22
v4.0.0-beta.220
v4.0.0-beta.221
v4.0.0-beta.222
v4.0.0-beta.223
v4.0.0-beta.224
v4.0.0-beta.225
v4.0.0-beta.226
v4.0.0-beta.227
v4.0.0-beta.228
v4.0.0-beta.229
v4.0.0-beta.23
v4.0.0-beta.230
v4.0.0-beta.231
v4.0.0-beta.232
v4.0.0-beta.233
v4.0.0-beta.234
v4.0.0-beta.235
v4.0.0-beta.236
v4.0.0-beta.237
v4.0.0-beta.238
v4.0.0-beta.239
v4.0.0-beta.24
v4.0.0-beta.240
v4.0.0-beta.241
v4.0.0-beta.242
v4.0.0-beta.243
v4.0.0-beta.244
v4.0.0-beta.245
v4.0.0-beta.246
v4.0.0-beta.247
v4.0.0-beta.248
v4.0.0-beta.249
v4.0.0-beta.25
v4.0.0-beta.250
v4.0.0-beta.251
v4.0.0-beta.252
v4.0.0-beta.253
v4.0.0-beta.254
v4.0.0-beta.255
v4.0.0-beta.256
v4.0.0-beta.257
v4.0.0-beta.258
v4.0.0-beta.259
v4.0.0-beta.26
v4.0.0-beta.260
v4.0.0-beta.261
v4.0.0-beta.262
v4.0.0-beta.263
v4.0.0-beta.264
v4.0.0-beta.265
v4.0.0-beta.266
v4.0.0-beta.267
v4.0.0-beta.268
v4.0.0-beta.269
v4.0.0-beta.27
v4.0.0-beta.270
v4.0.0-beta.271
v4.0.0-beta.272
v4.0.0-beta.273
v4.0.0-beta.274
v4.0.0-beta.275
v4.0.0-beta.276
v4.0.0-beta.277
v4.0.0-beta.278
v4.0.0-beta.279
v4.0.0-beta.28
v4.0.0-beta.280
v4.0.0-beta.281
v4.0.0-beta.282
v4.0.0-beta.283
v4.0.0-beta.284
v4.0.0-beta.285
v4.0.0-beta.286
v4.0.0-beta.287
v4.0.0-beta.288
v4.0.0-beta.289
v4.0.0-beta.29
v4.0.0-beta.290
v4.0.0-beta.291
v4.0.0-beta.292
v4.0.0-beta.293
v4.0.0-beta.294
v4.0.0-beta.295
v4.0.0-beta.296
v4.0.0-beta.297
v4.0.0-beta.298
v4.0.0-beta.299
v4.0.0-beta.30
v4.0.0-beta.300
v4.0.0-beta.301
v4.0.0-beta.302
v4.0.0-beta.303
v4.0.0-beta.304
v4.0.0-beta.305
v4.0.0-beta.306
v4.0.0-beta.307
v4.0.0-beta.308
v4.0.0-beta.309
v4.0.0-beta.31
v4.0.0-beta.310
v4.0.0-beta.311
v4.0.0-beta.312
v4.0.0-beta.313
v4.0.0-beta.314
v4.0.0-beta.315
v4.0.0-beta.316
v4.0.0-beta.317
v4.0.0-beta.318
v4.0.0-beta.319
v4.0.0-beta.32
v4.0.0-beta.320
v4.0.0-beta.321
v4.0.0-beta.322
v4.0.0-beta.323
v4.0.0-beta.324
v4.0.0-beta.325
v4.0.0-beta.326
v4.0.0-beta.327
v4.0.0-beta.328
v4.0.0-beta.329
v4.0.0-beta.33
v4.0.0-beta.330
v4.0.0-beta.331
v4.0.0-beta.332
v4.0.0-beta.333
v4.0.0-beta.334
v4.0.0-beta.335
v4.0.0-beta.336
v4.0.0-beta.337
v4.0.0-beta.338
v4.0.0-beta.339
v4.0.0-beta.34
v4.0.0-beta.340
v4.0.0-beta.341
v4.0.0-beta.342
v4.0.0-beta.343
v4.0.0-beta.344
v4.0.0-beta.345
v4.0.0-beta.346
v4.0.0-beta.347
v4.0.0-beta.348
v4.0.0-beta.349
v4.0.0-beta.35
v4.0.0-beta.350
v4.0.0-beta.351
v4.0.0-beta.352
v4.0.0-beta.353
v4.0.0-beta.354
v4.0.0-beta.355
v4.0.0-beta.356
v4.0.0-beta.357
v4.0.0-beta.358
v4.0.0-beta.359
v4.0.0-beta.36
v4.0.0-beta.360
v4.0.0-beta.361
v4.0.0-beta.362
v4.0.0-beta.363
v4.0.0-beta.364
v4.0.0-beta.365
v4.0.0-beta.366
v4.0.0-beta.367
v4.0.0-beta.368
v4.0.0-beta.369
v4.0.0-beta.37
v4.0.0-beta.370
v4.0.0-beta.371
v4.0.0-beta.372
v4.0.0-beta.373
v4.0.0-beta.374
v4.0.0-beta.375
v4.0.0-beta.376
v4.0.0-beta.377
v4.0.0-beta.378
v4.0.0-beta.379
v4.0.0-beta.38
v4.0.0-beta.380
v4.0.0-beta.381
v4.0.0-beta.382
v4.0.0-beta.383
v4.0.0-beta.384
v4.0.0-beta.385
v4.0.0-beta.386
v4.0.0-beta.387
v4.0.0-beta.388
v4.0.0-beta.389
v4.0.0-beta.390
v4.0.0-beta.391
v4.0.0-beta.392
v4.0.0-beta.393
v4.0.0-beta.394
v4.0.0-beta.395
v4.0.0-beta.396
v4.0.0-beta.397
v4.0.0-beta.398
v4.0.0-beta.399
v4.0.0-beta.400
v4.0.0-beta.401
v4.0.0-beta.402
v4.0.0-beta.404
v4.0.0-beta.405
v4.0.0-beta.406
v4.0.0-beta.407
v4.0.0-beta.408
v4.0.0-beta.409
v4.0.0-beta.41
v4.0.0-beta.410
v4.0.0-beta.411
v4.0.0-beta.412
v4.0.0-beta.413
v4.0.0-beta.414
v4.0.0-beta.415
v4.0.0-beta.416
v4.0.0-beta.417
v4.0.0-beta.418
v4.0.0-beta.419
v4.0.0-beta.42
v4.0.0-beta.420
v4.0.0-beta.420.1
v4.0.0-beta.420.2
v4.0.0-beta.420.3
v4.0.0-beta.420.4
v4.0.0-beta.420.5
v4.0.0-beta.420.6
v4.0.0-beta.420.7
v4.0.0-beta.420.8
v4.0.0-beta.420.9
v4.0.0-beta.421
v4.0.0-beta.422
v4.0.0-beta.423
v4.0.0-beta.424
v4.0.0-beta.425
v4.0.0-beta.426
v4.0.0-beta.427
v4.0.0-beta.428
v4.0.0-beta.429
v4.0.0-beta.43
v4.0.0-beta.430
v4.0.0-beta.431
v4.0.0-beta.432
v4.0.0-beta.433
v4.0.0-beta.434
v4.0.0-beta.44
v4.0.0-beta.45
v4.0.0-beta.46
v4.0.0-beta.47
v4.0.0-beta.48
v4.0.0-beta.49
v4.0.0-beta.50
v4.0.0-beta.51
v4.0.0-beta.52
v4.0.0-beta.53
v4.0.0-beta.54
v4.0.0-beta.55
v4.0.0-beta.56
v4.0.0-beta.57
v4.0.0-beta.58
v4.0.0-beta.59
v4.0.0-beta.60
v4.0.0-beta.61
v4.0.0-beta.62
v4.0.0-beta.63
v4.0.0-beta.64
v4.0.0-beta.65
v4.0.0-beta.66
v4.0.0-beta.67
v4.0.0-beta.68
v4.0.0-beta.69
v4.0.0-beta.70
v4.0.0-beta.71
v4.0.0-beta.72
v4.0.0-beta.73
v4.0.0-beta.74
v4.0.0-beta.75
v4.0.0-beta.76
v4.0.0-beta.77
v4.0.0-beta.78
v4.0.0-beta.79
v4.0.0-beta.80
v4.0.0-beta.81
v4.0.0-beta.82
v4.0.0-beta.83
v4.0.0-beta.84
v4.0.0-beta.85
v4.0.0-beta.86
v4.0.0-beta.87
v4.0.0-beta.88
v4.0.0-beta.89
v4.0.0-beta.90
v4.0.0-beta.91
v4.0.0-beta.92
v4.0.0-beta.93
v4.0.0-beta.94
v4.0.0-beta.95
v4.0.0-beta.96
v4.0.0-beta.97
v4.0.0-beta.98
v4.0.0-beta.99

Database specific

source 
"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-64422.json"