CVE-2026-55883 in Tiltالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يُعرّف Tilt بيئات التطوير كـ "كود" لتطبيقات الخدمات المصغرة (microservices) على Kubernetes. من الإصدار 0.24.0 حتى 0.37.3، كان واجهة HUD الخاصة بـ WebSocket عند المسار /ws/view محميةً بواسطة رمز CSRF، لكن هذا الرمز يُقدَّم عبر نقطة النهاية غير المحظورة (/api/websocket_token)، ويقبل المُحدِّث (upgrader) عملاء يتجاهلون رأس Origin. عندما تكون واجهة HUD مكشوفة للشبكة، يمكن لمهاجم قادر على الوصول إلى المستمع أن يفتح WebSocket الخاص بـ HUD ويتلقى تدفق العرض الكامل، بما في ذلك حالة الجلسة ومحتويات ملف Tiltfile وحالات الموارد والتحديثات المستمرة. تم إصلاح هذه المشكلة في الإصدار 0.37.4.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377720

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!