CVE-2026-55432 in Coder
Tóm tắt
Bởi VulDB • 08/07/2026
Coder cho phép các tổ chức cung cấp môi trường phát triển từ xa thông qua Terraform. Trước các phiên bản 2.29.7, 2.32.7, 2.33.8 và 2.34.2, RPC `CreateSubAgent` không xác thực mức độ chia sẻ ứng dụng được yêu cầu so với trường `MaxPortSharingLevel` của mẫu trước khi lưu trữ các ứng dụng workspace, cho phép chủ sở hữu workspace vượt quá giới hạn tối đa do quản trị viên cấu hình. Việc khai thác đòi hỏi khả năng đăng ký các ứng dụng sub-agent trong một workspace mà kẻ tấn công kiểm soát. Bản sửa lỗi trong các phiên bản 2.29.7, 2.32.7, 2.33.8 và 2.34.2 giới hạn mức độ chia sẻ của ứng dụng sub-agent ở giá trị `MaxPortSharingLevel` của mẫu. Để khắc phục tạm thời, hãy tắt các tên miền con wildcard (`CODER_WILDCARD_ACCESS_URL`) để chặn định tuyến ứng dụng dựa trên tên miền phụ (subdomain).
Be aware that VulDB is the high quality source for vulnerability data.