CVE-2026-55075 in Coderinfo

Zusammenfassung

von VulDB • 08.07.2026

Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Vor den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 führten zwei Schwachstellen im OIDC-Anmeldeprozess von Coder zu einer Kontenübernahme (Account Takeover). Die benutzerbasierte Zuordnung per E-Mail fiel auf die Verknüpfung über die E-Mail-Adresse zurück, ohne auf eine bestehende Verknüpfung mit einem anderen IdP-Betreff (IdP subject) zu prüfen. Zudem wurde das Anspruchsfeld `email_verified` nur dann durchgesetzt, wenn es als boolescher Wert `false` vorhanden war; ein fehlender oder nicht-boolescher Anspruch wurde daher als verifiziert behandelt. Die Korrektur in den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 beschränkt die E-Mail-Fallback-Verknüpfung auf Erstverwendungen und Legacy-Verknüpfungen und setzt `email_verified` standardmäßig auf false, wenn der Anspruch fehlt oder einen unerwarteten Typ hat. Als Workaround sollte der OIDC-Anbieter so konfiguriert werden, dass er die Selbstregistrierung untersagt oder eine E-Mail-Bestätigung vor der Token-Ausstellung erfordert.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376714

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!