CVE-2024-27918

Versões do Coder anteriores à 2.6.1

Versões do Coder anteriores à 2.7.3

Versões do Coder anteriores à 2.8.4

Uma vulnerabilidade na autenticação OIDC do Coder poderia permitir que um invasor contornasse a verificação CODER OIDC EMAIL DOMAIN e criasse uma conta com um e-mail que não constasse na lista de domínios permitidos. As implementações só são afetadas se o provedor OIDC permitir que os usuários criem contas no provedor. Durante o registro OIDC, o e-mail do usuário não era validado corretamente em relação aos domínios permitidos CODER OIDC EMAIL DOMAIN. Isso poderia permitir que um usuário com um domínio que correspondesse apenas parcialmente a um domínio permitido fizesse login ou se registrasse com sucesso. Um invasor poderia registrar um nome de domínio que explorasse essa vulnerabilidade e se registrar em uma instância do Coder com um provedor OIDC público. Instâncias do Coder com OIDC habilitado e protegidas pela configuração CODER OIDC EMAIL DOMAIN são afetadas. Provedores OIDC públicos são afetados, enquanto a autenticação do GitHub e a autenticação externa não são afetadas.

Para versões anteriores à 2.6.1, atualize para a versão 2.6.1 ou posterior.

Para versões anteriores à 2.7.3, atualize para a versão 2.7.3 ou posterior.

Para versões anteriores à 2.8.4, atualize para a versão 2.8.4 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao recurso de autenticação OIDC até que um patch esteja disponível.

Restrinja o acesso à configuração CODER OIDC EMAIL DOMAIN para minimizar o risco de exploração.

Evite usar provedores OIDC públicos