PT-2025-48989 · Coder · Coder
Publicado
2025-12-03
·
Atualizado
2025-12-15
·
CVE-2025-66411
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Coder anteriores a 2.26.5
Versões do Coder anteriores a 2.27.7
Versões do Coder anteriores a 2.28.4
Descrição
O Coder permite que organizações configurem ambientes de desenvolvimento remoto utilizando Terraform. Antes das versões 2.26.5, 2.27.7 e 2.28.4, manifestos do Workspace Agent com dados sensíveis eram registrados em logs como texto plano sem a devida sanitização. Um atacante com acesso local limitado ao Coder Workspace (VM, K8s Pod, etc.) ou a um sistema de terceiros (SIEM, pilha de logs) poderia potencialmente obter acesso a esses logs.
Recomendações
Atualize para a versão 2.26.5 ou posterior do Coder.
Atualize para a versão 2.27.7 ou posterior do Coder.
Atualize para a versão 2.28.4 ou posterior do Coder.
Exploit
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Coder