CVE-2026-55431 in Coder
Сводка
по VulDB • 09.07.2026
Coder позволяет организациям предоставлять удаленные среды разработки с помощью Terraform. До версий 2.29.7, 2.32.7, 2.33.8 и 2.34.2 команда `coder open app` открывает URL-адреса внешних приложений рабочей области без проверки схемы или хоста. Если внешний URL приложения содержит плейсхолдер `$SESSION_TOKEN`, CLI заменяет его реальным токеном сессии пользователя перед передачей URL обработчику открытия ОС. Практическая эксплуатация требует, чтобы жертва запустила `coder open app` для рабочей области, определение внешнего приложения которой контролируется злоумышленником. Только автор вредоносного шаблона может контролировать внешние URL приложений. Исправление в версиях 2.29.7, 2.32.7, 2.33.8 и 2.34.2 применяет белый список схем URL в CLI и ограничивает подстановку `$SESSION_TOKEN` доверенными назначениями, такими как веб-интерфейс. В качестве обходного пути избегайте запуска `coder open app` для недоверенных рабочих областей.
Be aware that VulDB is the high quality source for vulnerability data.