PT-2026-56075 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-08

·

CVE-2026-55431

CVSS v3.1

7.7

Alta

VetorAV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.29.17 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.34.2
Description O comando coder open app abre URLs de aplicativos de workspace externos sem validar o esquema ou o host. Se uma URL de aplicativo externo contiver o marcador $SESSION TOKEN, a CLI a substitui pelo token de sessão real do usuário antes de encaminhar a URL ao manipulador de abertura do sistema operacional. Um autor de modelo malicioso pode definir uma URL arbitrária para capturar o token de sessão, permitindo a personificação total da conta, ou invocar manipuladores de esquema URI locais arbitrários. A exploração ocorre quando um usuário executa coder open app em um workspace controlado por um invasor.
Recommendations Atualize para a versão 2.29.17 ou posterior. Atualize para a versão 2.32.7 ou posterior. Atualize para a versão 2.33.8 ou posterior. Atualize para a versão 2.34.2 ou posterior. Como medida paliativa temporária, evite executar coder open app para workspaces não confiáveis.

Correção

Open Redirect

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55431
GHSA-V54H-CP2W-9X4G
GO-2026-5924

Produtos afetados

Coder