CVE-2026-55427 in Coderinfo

Zusammenfassung

von VulDB • 08.07.2026

Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Vor den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 schrieb `coder config-ssh` serverseitig bereitgestellte SSH-Einstellungen (`HostnameSuffix`, `SSHConfigOptions`) in die Datei `~/.ssh/config` des Benutzers ein, ohne eingebettete Zeilenumbrüche zu bereinigen oder Direktiven einzuschränken; dadurch konnte ein böswilliger oder kompromittierter Coder-Server beliebige SSH-Konfigurationen injizieren. Für eine praktische Ausnutzung ist die Kontrolle über die serverseitig bereitgestellten Werte erforderlich, was durch einen böswilligen oder kompromittierten Deployment-Zustand, eine Man-in-the-Middle-Position oder Adminzugriff auf die Einstellungen `HostnameSuffix` und `SSHConfigOptions` erreicht werden kann. Die Korrektur in den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 validiert `HostnameSuffix` und `SSHConfigOptions` anhand eines strengen Zeichensatzes, der Zeilenumbrüche und andere Steuerzeichen ablehnt. Als Workaround sollte die Ausgabe von `coder config-ssh --dry-run` vor dem Anwenden von Änderungen überprüft werden.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376739

CPE

bereit

EPSS

0.00466

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!