PT-2026-56066 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-07

·

CVE-2026-55076

CVSS v3.1

7.4

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.34.2 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.29.17
Description Existe um problema no callback OIDC onde a reivindicação email verified é verificada usando uma asserção de tipo bool direta do Go. Se um Provedor de Identidade (IdP) retornar essa reivindicação como um tipo não booleano (como a string "false") ou a omitir inteiramente, a asserção falha aberta, fazendo com que o e-mail seja tratado como verificado. Quando combinado com um fallback de conta baseado em e-mail incondicional, um invasor pode registrar o e-mail de uma vítima em um IdP compatível sem verificá-lo para obter acesso não autorizado e a tomada total de controle da conta do Coder da vítima.
Recommendations Atualize para a versão 2.34.2 ou posterior. Atualize para a versão 2.33.8 ou posterior. Atualize para a versão 2.32.7 ou posterior. Atualize para a versão 2.29.17 ou posterior. Como mitigação temporária, garanta que o IdP retorne email verified como um booleano JSON nativo.

Correção

Improper Authentication

Incorrect Type Conversion or Cast

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55076
GHSA-75VM-6W67-GWVP
GO-2026-5907

Produtos afetados

Coder