CVE-2026-55432 in Coder情報

要約

〜によって VulDB • 2026年07月08日

Coderは、Terraformを介して組織がリモート開発環境のプロビジョニングを行うことを可能にします。バージョン2.29.7、2.32.7、2.33.8、および2.34.2より前では、`CreateSubAgent` RPCはワークスペースアプリを永続化する前に、要求されたアプリ共有レベルがテンプレートの`MaxPortSharingLevel`に対して有効かどうかを検証していませんでした。これにより、ワークスペース所有者が管理者によって設定された最大値を超えることが可能になりました。攻撃には、攻撃者が制御するワークスペース内でサブエージェントアプリを登録できる必要があります。バージョン2.29.7、2.32.7、2.33.8、および2.34.2での修正では、サブエージェントアプリの共有レベルがテンプレートの`MaxPortSharingLevel`に制限されます。回避策として、ワイルドカードアプリホスト名(`CODER_WILDCARD_ACCESS_URL`)を無効にして、サブドメインベースのアプリルーティングを防ぎます。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年06月16日

モデレーション

承諾済み

エントリ

VDB-376754

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!