PT-2026-56068 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-07

·

CVE-2026-55078

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Coder versões 2.17.0 até 2.29.6 Coder versões 2.32.0 até 2.32.6 Coder versões 2.33.0 até 2.33.7 Coder versões 2.34.0 até 2.34.1
Description O endpoint POST /api/v2/files converte uploads de arquivos zip para tar em memória através da função CreateTarFromZip. Embora houvesse um limite de tamanho por entrada, não existia um limite agregado para a saída total descompactada, resultando na gravação em um buffer de memória ilimitado. Um usuário autenticado poderia fazer o upload de um arquivo zip dentro do limite de 100 MiB contendo entradas altamente compressíveis que, ao serem descompactadas, esgotariam a memória do sistema e causariam a falha do serviço coderd, resultando em uma negação de serviço. Este problema não permite a execução de código ou a divulgação de dados.
Recommendations Atualizar para a versão 2.29.17 Atualizar para a versão 2.32.7 Atualizar para a versão 2.33.8 Atualizar para a versão 2.34.2 Restringir as permissões de upload de arquivos a usuários confiáveis. Posicionar um proxy reverso com limites de tamanho de corpo de requisição à frente do coderd.

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55078
GHSA-2MG2-P7R7-G27F
GO-2026-5916

Produtos afetados

Coder