PT-2026-56072 · Coder · Coder

Garrett

·

Publicado

2026-07-06

·

Atualizado

2026-07-08

·

CVE-2026-55428

CVSS v3.1

8.2

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.34.2 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.29.17
Description O coordenador da tailnet não valida se os AllowedIPs de um agente derivam de seu UUID autenticado, embora realize essa verificação para Addresses. Consequentemente, o coordenador encaminha os AllowedIPs fornecidos pelo agente integralmente para os pares do túnel, que os instalam na configuração de pares do WireGuard. Um usuário autenticado malicioso com um binário de agente modificado pode anunciar prefixos AllowedIPs arbitrários, incluindo os de outro agente. Isso permite que o invasor intercepte o tráfego do terminal web e do aplicativo de workspace e forneça conteúdo falsificado ao reivindicar o prefixo de uma vítima.
Recommendations Atualize para a versão 2.34.2 ou posterior. Atualize para a versão 2.33.8 ou posterior. Atualize para a versão 2.32.7 ou posterior. Atualize para a versão 2.29.17 ou posterior. Monitore os logs do coordenador em busca de agentes que anunciem prefixos AllowedIPs inesperados.

Correção

Improper Authorization

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55428
GHSA-WRQ8-FCV5-8HVP
GO-2026-5915

Produtos afetados

Coder