CVE-2026-55430 in Coder
Zusammenfassung
von VulDB • 08.07.2026
Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Vor den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 löst der Workspace-App-Proxy die Zielanwendung aus `httpapi.RequestHost()` auf, wobei der Header `X-Forwarded-Host` dem echten `Host`-Header vorgezogen wird. Kein Middleware entfernt den `X-Forwarded-Host` vor dem Routing, und da dieser Header nicht vom Browser verboten ist, kann Client-seitiger JavaScript diesen bei `fetch()`-Aufrufen setzen. Eine praktische Ausnutzung erfordert die Aktivierung der Subdomain-App-Routing (Wildcard-Hostname), ein Opfer, das die freigegebene App des Angreifers besucht, sowie eine Bereitstellung, deren Upstream-Proxy den `X-Forwarded-Host` nicht entfernt. Die Korrektur in den Versionen 2.29.7, 2.32.7, 2.33.8 und 2.34.2 vertraut dem Header `X-Forwarded-Host` nur von konfigurierten vertrauenswürdigen Proxys an; andernfalls wird der Routing-Host aus dem verifizierten Request-Host aufgelöst. Als Workaround sollte ein Upstream-Reverse-Proxy platziert werden, der den `X-Forwarded-Host` bei nicht vertrauenswürdigen Anfragen entfernt oder überschreibt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.