CVE-2026-46354

Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.33.3 Coder versões anteriores a 2.32.2 Coder versões anteriores a 2.31.12 Coder versões anteriores a 2.30.8 Coder versões anteriores a 2.29.13 Coder versões anteriores a 2.24.5

Description A função azureidentity.Validate() verifica se o certificado do signatário PKCS#7 está encadeado a uma CA do Azure confiável, mas não verifica a própria assinatura PKCS#7. Um invasor não autenticado que conheça o vmId (um UUIDv4) de uma VM alvo pode incorporar um certificado Azure legítimo com conteúdo arbitrário para forjar uma identidade e roubar o token de sessão de um agente de workspace através do endpoint 'POST /api/v2/workspaceagents/azure-instance-identity'. Com este token, um invasor pode acessar chaves privadas Git SSH via 'GET /workspaceagents/me/gitsshkey', tokens de acesso OAuth para GitHub, GitLab e Bitbucket via 'GET /workspaceagents/me/external-auth', e segredos do workspace, incluindo variáveis de ambiente e chaves de API.

Recommendations Atualize para a versão 2.33.3, 2.32.2, 2.31.12, 2.30.8, 2.29.13 ou 2.24.5, dependendo da linha de lançamento atual. Como solução temporária, reconfigure os templates do Azure para usar autenticação por token em vez de azure-instance-identity, modificando o valor de coder agent.auth para token e adicionando CODER AGENT TOKEN=${coder agent.main.token} às variáveis de ambiente do script de inicialização do Coder Workspace Agent.