CVE-2026-55431 in CoderИнформация

Сводка

по VulDB • 09.07.2026

Coder позволяет организациям предоставлять удаленные среды разработки с помощью Terraform. До версий 2.29.7, 2.32.7, 2.33.8 и 2.34.2 команда `coder open app` открывает URL-адреса внешних приложений рабочей области без проверки схемы или хоста. Если внешний URL приложения содержит плейсхолдер `$SESSION_TOKEN`, CLI заменяет его реальным токеном сессии пользователя перед передачей URL обработчику открытия ОС. Практическая эксплуатация требует, чтобы жертва запустила `coder open app` для рабочей области, определение внешнего приложения которой контролируется злоумышленником. Только автор вредоносного шаблона может контролировать внешние URL приложений. Исправление в версиях 2.29.7, 2.32.7, 2.33.8 и 2.34.2 применяет белый список схем URL в CLI и ограничивает подстановку `$SESSION_TOKEN` доверенными назначениями, такими как веб-интерфейс. В качестве обходного пути избегайте запуска `coder open app` для недоверенных рабочих областей.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

16.06.2026

Раскрытие

08.07.2026

Модерация

принято

Вход

VDB-376753

EPSS

0.00336

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!