CVE-2026-55075 in Coderinformazioni

Riassunto

di VulDB • 08/07/2026

Coder consente alle organizzazioni di fornire ambienti di sviluppo remoti tramite Terraform. Prima delle versioni 2.29.7, 2.32.7, 2.33.8 e 2.34.2, due vulnerabilità nel login OIDC di Coder erano concatenate in modo da consentire l'assunzione del controllo dell'account (account takeover). La corrispondenza degli utenti basata sull'email prevedeva un fallback al collegamento tramite email senza verificare la presenza di un link esistente a un soggetto IdP diverso e il claim `email_verified` era applicato solo quando presente come booleano `false`, quindi un claim assente o non booleano veniva trattato come verificato. La correzione nelle versioni 2.29.7, 2.32.7, 2.33.8 e 2.34.2 limita il fallback dell'email al primo collegamento e ai collegamenti legacy e imposta `email_verified` su false quando il claim è assente o di un tipo imprevisto. Come soluzione alternativa (workaround), configurare il provider OIDC per disconsentire l'auto-registrazione o richiedere la verifica dell'email prima del rilascio dei token.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

16/06/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!