PT-2026-56074 · Coder · Coder
Publicado
2026-07-06
·
Atualizado
2026-07-08
·
CVE-2026-55430
CVSS v3.1
5.8
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Coder versões anteriores a 2.29.17
Coder versões anteriores a 2.32.7
Coder versões anteriores a 2.33.8
Coder versões anteriores a 2.34.2
Description
O proxy de aplicativo de workspace resolve o aplicativo de destino usando a função
httpapi.RequestHost(), que prioriza o cabeçalho X-Forwarded-Host em relação ao cabeçalho Host real. Como nenhum middleware remove o cabeçalho X-Forwarded-Host antes do roteamento e o cabeçalho não é proibido pelo navegador, o JavaScript do lado do cliente pode manipulá-lo em chamadas fetch(). Isso permite que um invasor que controle um aplicativo de workspace compartilhado forneça JavaScript que envie solicitações de mesmo site com um cabeçalho X-Forwarded-Host forjado apontando para o aplicativo privado de uma vítima. Como os cookies de sessão do aplicativo são definidos para o domínio pai curinga, o navegador os anexa à solicitação, permitindo que o invasor leia as respostas do aplicativo privado da vítima. A exploração requer que o roteamento de aplicativo de subdomínio (hostname curinga) esteja habilitado e que o proxy upstream não remova o cabeçalho X-Forwarded-Host.Recommendations
Atualize para a versão 2.29.17 ou posterior.
Atualize para a versão 2.32.7 ou posterior.
Atualize para a versão 2.33.8 ou posterior.
Atualize para a versão 2.34.2 ou posterior.
Como medida paliativa temporária, implemente um proxy reverso upstream que remova ou sobrescreva o cabeçalho
X-Forwarded-Host em solicitações não confiáveis.Exploit
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Coder