Arcz

**Nome do software vulnerável e versões afetadas** Versões do Coder anteriores à 2.6.1 Versões do Coder anteriores à 2.7.3 Versões do Coder anteriores à 2.8.4 **Descrição** Uma vulnerabilidade na autenticação OIDC do Coder poderia permitir que um invasor contornasse a verificação `CODER OIDC EMAIL DOMAIN` e criasse uma conta com um e-mail que não constasse na lista de domínios permitidos. As implementações só são afetadas se o provedor OIDC permitir que os usuários criem contas no provedor. Durante o registro OIDC, o e-mail do usuário não era validado corretamente em relação aos domínios permitidos `CODER OIDC EMAIL DOMAIN`. Isso poderia permitir que um usuário com um domínio que correspondesse apenas parcialmente a um domínio permitido fizesse login ou se registrasse com sucesso. Um invasor poderia registrar um nome de domínio que explorasse essa vulnerabilidade e se registrar em uma instância do Coder com um provedor OIDC público. Instâncias do Coder com OIDC habilitado e protegidas pela configuração `CODER OIDC EMAIL DOMAIN` são afetadas. Provedores OIDC públicos são afetados, enquanto a autenticação do GitHub e a autenticação externa não são afetadas. **Recomendações** Para versões anteriores à 2.6.1, atualize para a versão 2.6.1 ou posterior. Para versões anteriores à 2.7.3, atualize para a versão 2.7.3 ou posterior. Para versões anteriores à 2.8.4, atualize para a versão 2.8.4 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao recurso de autenticação OIDC até que um patch esteja disponível. Restrinja o acesso à configuração `CODER OIDC EMAIL DOMAIN` para minimizar o risco de exploração. Evite usar provedores OIDC públicos