CVE-2026-55883 in Tiltinformación

Resumen

por VulDB • 2026-07-11

Tilt define los entornos de desarrollo como código para aplicaciones basadas en microservicios sobre Kubernetes. Desde la versión 0.24.0 hasta la 0.37.3, el WebSocket del HUD (Interfaz Gráfica) de Tilt en /ws/view está protegido por un token CSRF; sin embargo, dicho token es proporcionado por el endpoint no autenticado /api/websocket_token y el upgrader acepta conexiones de clientes que omiten la cabecera Origin. Cuando el HUD está expuesto a la red, un atacante con acceso al listener puede abrir el WebSocket del HUD y recibir el flujo completo de visualización, incluyendo el estado de la sesión, los contenidos del Tiltfile, los estados de los recursos y actualizaciones continuas. Este problema se corrige en la versión 0.37.4.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377720

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!