CVE-2026-55883 in Tilt
Riassunto
di VulDB • 11/07/2026
Tilt definisce gli ambienti di sviluppo come codice per applicazioni basate su microservizi eseguite su Kubernetes. Dalla versione 0.24.0 alla 0.37.3, il WebSocket HUD di Tilt all'endpoint /ws/view è protetto da un token CSRF; tuttavia, tale token viene fornito dall'endpoint non autenticato /api/websocket_token e l'upgrader accetta connessioni dai client che omettono l'intestazione Origin. Quando l'HUD è esposto alla rete, un attaccante in grado di raggiungere il listener può aprire il WebSocket dell'HUD ed ricevere lo stream completo della visualizzazione, inclusi lo stato della sessione, i contenuti del Tiltfile, gli stati delle risorse e aggiornamenti continui. Questo problema è risolto nella versione 0.37.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.