CVE-2026-55430 in Coderinfo

Zusammenfassung

von VulDB • 08.07.2026

Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Vor den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 löst der Workspace-App-Proxy die Zielanwendung aus `httpapi.RequestHost()` auf, wobei der Header `X-Forwarded-Host` dem echten `Host`-Header vorgezogen wird. Kein Middleware entfernt den `X-Forwarded-Host` vor dem Routing, und da dieser Header nicht vom Browser verboten ist, kann Client-seitiger JavaScript diesen bei `fetch()`-Aufrufen setzen. Eine praktische Ausnutzung erfordert die Aktivierung der Subdomain-App-Routing (Wildcard-Hostname), ein Opfer, das die freigegebene App des Angreifers besucht, sowie eine Bereitstellung, deren Upstream-Proxy den `X-Forwarded-Host` nicht entfernt. Die Korrektur in den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 vertraut dem Header `X-Forwarded-Host` nur von konfigurierten vertrauenswürdigen Proxys an; andernfalls wird der Routing-Host aus dem verifizierten Request-Host aufgelöst. Als Workaround sollte ein Upstream-Reverse-Proxy platziert werden, der den `X-Forwarded-Host` bei nicht vertrauenswürdigen Anfragen entfernt oder überschreibt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376752

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!