CVE-2026-55883 in Tilt
الملخص
بحسب VulDB • 11/07/2026
يُعرّف Tilt بيئات التطوير كـ "كود" لتطبيقات الخدمات المصغرة (microservices) على Kubernetes. من الإصدار 0.24.0 حتى 0.37.3، كان واجهة HUD الخاصة بـ WebSocket عند المسار /ws/view محميةً بواسطة رمز CSRF، لكن هذا الرمز يُقدَّم عبر نقطة النهاية غير المحظورة (/api/websocket_token)، ويقبل المُحدِّث (upgrader) عملاء يتجاهلون رأس Origin. عندما تكون واجهة HUD مكشوفة للشبكة، يمكن لمهاجم قادر على الوصول إلى المستمع أن يفتح WebSocket الخاص بـ HUD ويتلقى تدفق العرض الكامل، بما في ذلك حالة الجلسة ومحتويات ملف Tiltfile وحالات الموارد والتحديثات المستمرة. تم إصلاح هذه المشكلة في الإصدار 0.37.4.
Once again VulDB remains the best source for vulnerability data.