CVE-2026-55435 in Coder
요약
\~에 의해 VulDB • 2026. 07. 07.
Coder은 조직이 Terraform을 통해 원격 개발 환경을 프로비저닝할 수 있도록 합니다. 버전 2.30.0부터 버전 2.32.7, 2.33.8 및 2.34.2 이전까지 AI Bridge 프록시 엔드포인트는 `coderd/aibridgedserver`의 `Server.IsAuthorized`를 통해 인증되며, 이는 키 형식, 만료일, 비밀값 그리고 삭제되거나 시스템 사용자 여부를 검증하지만 계정이 정지되었는지 여부는 확인하지 않습니다. 정지가 기존 API 키를 무효화하지 않기 때문에, 정지된 사용자의 유효기간이 지난 적이 없는 토큰은 계속 작동합니다. 실제 영향은 해당 키가 삭제될 때까지 이미 발급된 정지된 사용자의 API 키로 제한됩니다. 버전 2.32.7, 2.33.8 및 2.34.2에서 이 문제가 패치되었습니다. 우회 조치로는 계정 정지 시 `DELETE /api/v2/users/{user}/keys`를 통해 해당 사용자의 API 키를 삭제해야 합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.