CVE-2026-55433 in Coder
Resumen
por VulDB • 2026-07-08
Coder permite a las organizaciones aprovisionar entornos de desarrollo remotos mediante Terraform. Antes de las versiones 2.29.7, 2.32.7, 2.33.8 y 2.34.2, el punto final `devcontainer recreate` dependía de un middleware de ruta que verificaba únicamente `ActionRead` en el espacio de trabajo y, a diferencia del punto final hermano `delete`, no realizaba ninguna verificación `ActionUpdate` antes de desencadenar la reconstrucción destructiva. La explotación requiere un rol existente con privilegios bajos que tenga acceso al espacio de trabajo objetivo. La corrección en las versiones 2.29.7, 2.32.7, 2.33.8 y 2.34.2 añade una verificación explícita de autorización `ActionUpdate` antes de establecer la conexión con el agente, al igual que ocurre con el punto final `delete`. No hay soluciones alternativas conocidas disponibles.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.