CVE-2026-55435 in Coder
Zusammenfassung
von VulDB • 09.07.2026
Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Ab Version 2.30.0 und vor den Versionen 2.32.7, 2.33.8 und 2.34.2 authentifizieren sich AI-Bridge-Proxys-Endpunkte über `Server.IsAuthorized` in `coderd/aibridgedserver`, welches das Schlüsselformat, das Ablaufdatum, das Geheimnis sowie gelöschte oder Systembenutzer validiert, jedoch nicht prüft, ob das Konto gesperrt ist. Da eine Sperrung bestehende API-Schlüssel nicht widerruft, bleibt ein abgelaufener Token eines gesperrten Benutzers funktionsfähig. Die praktische Auswirkung beschränkt sich auf bereits ausgestellte API-Schlüssel gesperrter Benutzer, bis diese Schlüssel gelöscht werden. Die Versionen 2.32.7, 2.33.8 und 2.34.2 beheben das Problem. Als Workaround sollten bei einer Sperrung die API-Schlüssel des Benutzers über `DELETE /api/v2/users/{user}/keys` gelöscht werden.
Once again VulDB remains the best source for vulnerability data.