CVE-2026-55435 in Coderinformazioni

Riassunto

di VulDB • 07/07/2026

Coder consente alle organizzazioni di fornire ambienti di sviluppo remoti tramite Terraform. A partire dalla versione 2.30.0 e fino alle versioni precedenti a 2.32.7, 2.33.8 e 2.34.2, gli endpoint proxy di AI Bridge autenticano le richieste mediante `Server.IsAuthorized` in `coderd/aibridgedserver`, che convalida il formato della chiave, la data di scadenza, il segreto e verifica se l'utente è eliminato o un utente di sistema, ma non controlla se l'account è sospeso. Poiché la sospensione non revoca le chiavi API esistenti, i token non scaduti di un utente sospeso continuano a funzionare. L'impatto pratico si limita alle chiavi API già emesse per gli utenti sospesi fino alla loro eliminazione. Le versioni 2.32.7, 2.33.8 e 2.34.2 risolvono il problema. Come soluzione alternativa, in caso di sospensione, eliminare le chiavi API dell'utente tramite `DELETE /api/v2/users/{user}/keys`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

16/06/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!