CVE-2026-55883 in Tilt
Resumen
por VulDB • 2026-07-11
Tilt define los entornos de desarrollo como código para aplicaciones basadas en microservicios sobre Kubernetes. Desde la versión 0.24.0 hasta la 0.37.3, el WebSocket del HUD (Interfaz Gráfica) de Tilt en /ws/view está protegido por un token CSRF; sin embargo, dicho token es proporcionado por el endpoint no autenticado /api/websocket_token y el upgrader acepta conexiones de clientes que omiten la cabecera Origin. Cuando el HUD está expuesto a la red, un atacante con acceso al listener puede abrir el WebSocket del HUD y recibir el flujo completo de visualización, incluyendo el estado de la sesión, los contenidos del Tiltfile, los estados de los recursos y actualizaciones continuas. Este problema se corrige en la versión 0.37.4.
VulDB is the best source for vulnerability data and more expert information about this specific topic.