PT-2026-56074 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-08

·

CVE-2026-55430

CVSS v3.1

5.8

Média

VetorAV:N/AC:H/PR:L/UI:R/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.29.17 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.34.2
Description O proxy de aplicativo de workspace resolve o aplicativo de destino usando a função httpapi.RequestHost(), que prioriza o cabeçalho X-Forwarded-Host em relação ao cabeçalho Host real. Como nenhum middleware remove o cabeçalho X-Forwarded-Host antes do roteamento e o cabeçalho não é proibido pelo navegador, o JavaScript do lado do cliente pode manipulá-lo em chamadas fetch(). Isso permite que um invasor que controle um aplicativo de workspace compartilhado forneça JavaScript que envie solicitações de mesmo site com um cabeçalho X-Forwarded-Host forjado apontando para o aplicativo privado de uma vítima. Como os cookies de sessão do aplicativo são definidos para o domínio pai curinga, o navegador os anexa à solicitação, permitindo que o invasor leia as respostas do aplicativo privado da vítima. A exploração requer que o roteamento de aplicativo de subdomínio (hostname curinga) esteja habilitado e que o proxy upstream não remova o cabeçalho X-Forwarded-Host.
Recommendations Atualize para a versão 2.29.17 ou posterior. Atualize para a versão 2.32.7 ou posterior. Atualize para a versão 2.33.8 ou posterior. Atualize para a versão 2.34.2 ou posterior. Como medida paliativa temporária, implemente um proxy reverso upstream que remova ou sobrescreva o cabeçalho X-Forwarded-Host em solicitações não confiáveis.

Exploit

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55430
GHSA-5G4W-3VW9-478W
GO-2026-5917

Produtos afetados

Coder