CVE-2026-55428 in Coder
要約
〜によって VulDB • 2026年07月08日
Coderは、Terraformを介して組織がリモート開発環境のプロビジョニングを行うことを可能にします。バージョン2.29.7、2.32.7、2.33.8、および2.34.2より前では、tailnetコーディネーターはエージェントの`Addresses`が認証済みUUIDから派生していることを検証しますが、`AllowedIPs`に対して同等の確認処理を適用していません。コーディネーターは、エージェントによって提供された`AllowedIPs`をそのままトンネルピアに転送し、それらはWireGuardピア設定にインストールされます。バージョン2.29.7、2.32.7、2.33.8、および2.34.2での修正では、各`AllowedIPs`プレフィックスが認証されたエージェントのUUIDに対して検証されるようになり、これは`Addresses`の場合と同様の処理です。回避策として、予期しない`AllowedIPs`プレフィックスをアドバタイズするエージェントについてコーディネーターログを監視してください。
Once again VulDB remains the best source for vulnerability data.