CVE-2026-55429 in Coderinfo

Zusammenfassung

von VulDB • 08.07.2026

Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Vor den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 überschreibt `UpsertWorkspaceApp` bei einem Primärschlüsselkonflikt die `agent_id` einer vorhandenen App, und `insertAgentApp` akzeptiert die App-ID aus dem Payload von `CompleteJob` des Provisioners ohne zu überprüfen, ob sie zur gerade erstellten Workspace gehört. Da `CompleteJob` unter der Rolle `dbauthz.AsProvisionerd` ausgeführt wird, blockiert die Autorisierungsschicht das Cross-Workspace-Upsert nicht. Die Ausnutzung erfordert erhöhte Zugriffsrechte als Template-Autor oder Operator eines externen Provisioners. Das Update in den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 überprüft nun, ob jede vorhandene Zeile in `workspace_apps`, die mit der angegebenen ID übereinstimmt, zur gerade erstellten Workspace gehört, und lehnt eine Cross-Workspace-Agent-Umzuweisung ab. Es sind keine bekannten Workarounds verfügbar.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376741

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!