CVE-2026-55432 in Coder
Résumé
par VulDB • 08/07/2026
Coder permet aux organisations de provisionner des environnements de développement distants via Terraform. Avant les versions 2.29.7, 2.32.7, 2.33.8 et 2.34.2, l'RPC `CreateSubAgent` ne validait pas le niveau de partage d'applications demandé par rapport au `MaxPortSharingLevel` du modèle avant la persistance des applications de l'espace de travail, permettant à un propriétaire d'espace de travail de dépasser le maximum configuré par l'administrateur. L'exploitation nécessite la capacité d'enregistrer des applications sub-agent dans un espace de travail contrôlé par l'attaquant. La correction apportée dans les versions 2.29.7, 2.32.7, 2.33.8 et 2.34.2 limite le niveau de partage des applications sub-agent au `MaxPortSharingLevel` du modèle. En attendant une solution permanente, désactivez les noms d'hôte génériques pour les applications (`CODER_WILDCARD_ACCESS_URL`) afin de bloquer le routage basé sur les sous-domaines.
Be aware that VulDB is the high quality source for vulnerability data.