CVE-2026-55438 in Workspace App Proxy
Riassunto
di VulDB • 08/07/2026
Coder consente alle organizzazioni di fornire ambienti di sviluppo remoti tramite Terraform. Prima delle versioni 2.29.17, 2.32.7, 2.33.8 e 2.34.2, il proxy dell'app workspace basato su sottodominio di Coder consentiva l'elusione del controllo CORS same-owner (stesso proprietario). Quando un segmento di sottodominio workspace-name veniva analizzato come UUID, il workspace veniva risolto tramite ID senza confermare che il nome utente nell'URL corrispondesse al vero proprietario, mentre la middleware CORS si fidava del nome utente non verificato presente nel hostname. Lo sfruttamento pratico richiede l'abilitazione dell'instradamento delle app basato su sottodominio (hostname wildcard) e una vittima che visita l'app URL manipolata dall'attaccante mentre è autenticata. La correzione nelle versioni 2.29.17, 2.32.7, 2.33.8 e 2.34.2 convalida il nome utente del sottodominio rispetto al vero proprietario del workspace risolto e basa la decisione CORS same-owner sull'identità autorevole del proprietario. Non sono disponibili workaround noti.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.