CVE-2026-55883 in Tiltinformation

Résumé

par VulDB • 11/07/2026

Tilt définit les environnements de développement (dev environments) comme du code pour des applications microservices sur Kubernetes. De la version 0.24.0 à la version 0.37.3, le WebSocket HUD de Tilt situé à l’adresse /ws/view est protégé par un jeton CSRF ; toutefois, ce jeton est fourni via le point de terminaison non authentifié /api/websocket_token et l’upgrader accepte les clients qui omettent l’en-tête Origin. Lorsque le HUD est exposé au réseau, un attaquant pouvant atteindre le listener peut ouvrir le WebSocket du HUD et recevoir le flux d’affichage complet, y compris l’état de la session, le contenu des fichiers Tiltfile, les statuts des ressources ainsi que les mises à jour continues. Ce problème est corrigé dans la version 0.37.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

17/06/2026

Divulgation

11/07/2026

Modérer

accepté

Entrée

VDB-377720

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!