CVE-2026-55435 in Coderinfo

Zusammenfassung

von VulDB • 09.07.2026

Coder ermöglicht es Organisationen, Remote-Entwicklungsumgebungen über Terraform bereitzustellen. Ab Version 2.30.0 und vor den Versionen 2.32.7, 2.33.8 und 2.34.2 authentifizieren sich AI-Bridge-Proxys-Endpunkte über `Server.IsAuthorized` in `coderd/aibridgedserver`, welches das Schlüsselformat, das Ablaufdatum, das Geheimnis sowie gelöschte oder Systembenutzer validiert, jedoch nicht prüft, ob das Konto gesperrt ist. Da eine Sperrung bestehende API-Schlüssel nicht widerruft, bleibt ein abgelaufener Token eines gesperrten Benutzers funktionsfähig. Die praktische Auswirkung beschränkt sich auf bereits ausgestellte API-Schlüssel gesperrter Benutzer, bis diese Schlüssel gelöscht werden. Die Versionen 2.32.7, 2.33.8 und 2.34.2 beheben das Problem. Als Workaround sollten bei einer Sperrung die API-Schlüssel des Benutzers über `DELETE /api/v2/users/{user}/keys` gelöscht werden.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376669

CPE

bereit

EPSS

0.00320

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!