PT-2026-56067 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-07

·

CVE-2026-55077

CVSS v3.1

7.2

Alta

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.34.2 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.29.17
Description Existe um problema onde o endpoint PUT /api/v2/users/{user}/password autorizava apenas a permissão ActionUpdatePersonal e não impedia que um usuário com a função user-admin redefinisse a senha de uma conta com a função owner. Além disso, o sistema não exigia a senha atual quando um administrador redefinia a senha de outro usuário. Isso permite que um user-admin redefina a senha de um proprietário, autentique-se como esse proprietário e obtenha controle total da implantação, incluindo templates, workspaces, licenciamento e configurações da organização, resultando em uma escalação de privilégios de user-admin para owner.
Recommendations Atualize para a versão 2.34.2 ou superior. Atualize para a versão 2.33.8 ou superior. Atualize para a versão 2.32.7 ou superior. Atualize para a versão 2.29.17 ou superior. Restrinja a função user-admin a administradores confiáveis.

Correção

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55077
GHSA-29XF-69GQ-M9JX
GO-2026-5906

Produtos afetados

Coder