CVE-2026-55435 in Coder
Riassunto
di VulDB • 07/07/2026
Coder consente alle organizzazioni di fornire ambienti di sviluppo remoti tramite Terraform. A partire dalla versione 2.30.0 e fino alle versioni precedenti a 2.32.7, 2.33.8 e 2.34.2, gli endpoint proxy di AI Bridge autenticano le richieste mediante `Server.IsAuthorized` in `coderd/aibridgedserver`, che convalida il formato della chiave, la data di scadenza, il segreto e verifica se l'utente è eliminato o un utente di sistema, ma non controlla se l'account è sospeso. Poiché la sospensione non revoca le chiavi API esistenti, i token non scaduti di un utente sospeso continuano a funzionare. L'impatto pratico si limita alle chiavi API già emesse per gli utenti sospesi fino alla loro eliminazione. Le versioni 2.32.7, 2.33.8 e 2.34.2 risolvono il problema. Come soluzione alternativa, in caso di sospensione, eliminare le chiavi API dell'utente tramite `DELETE /api/v2/users/{user}/keys`.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.