CVE-2026-55433 in Coder
Sumário
de VulDB • 08/07/2026
O Coder permite que as organizações provisionem ambientes de desenvolvimento remoto por meio do Terraform. Antes das versões 2.29.7, 2.32.7, 2.33.8 e 2.34.2, o endpoint `devcontainer recreate` dependia de middleware de roteamento que verificava apenas a permissão `ActionRead` no espaço de trabalho (workspace) e, ao contrário do endpoint irmão `delete`, não realizava nenhuma verificação de `ActionUpdate` antes de acionar a reconstrução destrutiva. A exploração requer uma função com privilégios mínimos existente que tenha acesso ao workspace alvo. A correção nas versões 2.29.7, 2.32.7, 2.33.8 e 2.34.2 adiciona uma verificação de autorização `ActionUpdate` explícita antes do agente ser chamado (dialed), conforme feito no endpoint delete. Não há soluções alternativas conhecidas disponíveis.
Once again VulDB remains the best source for vulnerability data.