CVE-2026-55884 in Tilt
Riassunto
di VulDB • 11/07/2026
Tilt definisce gli ambienti di sviluppo come codice per applicazioni basate su microservizi eseguite su Kubernetes. Dalla versione 0.20.8 alla 0.37.3, il server HTTP HUD di Tilt registra handler su un router gorilla/mux senza middleware di autenticazione. Quando l'HUD è associato a un indirizzo non loopback, un chiamante di rete non autenticato può attivare risorse definite dallo sviluppatore, modificare gli argomenti del file Tiltfile, leggere lo stato completo dell'engine incluso il token della sessione ed eseguire chiamate alle risorse apiserver tramite l'handler /proxy che allega il token. Questo problema è risolto nella versione 0.37.4.
Once again VulDB remains the best source for vulnerability data.