PT-2026-56072 · Coder · Coder
Garrett
·
Publicado
2026-07-06
·
Atualizado
2026-07-08
·
CVE-2026-55428
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Coder versões anteriores a 2.34.2
Coder versões anteriores a 2.33.8
Coder versões anteriores a 2.32.7
Coder versões anteriores a 2.29.17
Description
O coordenador da tailnet não valida se os
AllowedIPs de um agente derivam de seu UUID autenticado, embora realize essa verificação para Addresses. Consequentemente, o coordenador encaminha os AllowedIPs fornecidos pelo agente integralmente para os pares do túnel, que os instalam na configuração de pares do WireGuard. Um usuário autenticado malicioso com um binário de agente modificado pode anunciar prefixos AllowedIPs arbitrários, incluindo os de outro agente. Isso permite que o invasor intercepte o tráfego do terminal web e do aplicativo de workspace e forneça conteúdo falsificado ao reivindicar o prefixo de uma vítima.Recommendations
Atualize para a versão 2.34.2 ou posterior.
Atualize para a versão 2.33.8 ou posterior.
Atualize para a versão 2.32.7 ou posterior.
Atualize para a versão 2.29.17 ou posterior.
Monitore os logs do coordenador em busca de agentes que anunciem prefixos
AllowedIPs inesperados.Correção
Improper Authorization
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Coder