PT-2026-56076 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-08

·

CVE-2026-55432

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.29.7 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.34.2
Description O RPC CreateSubAgent não valida o nível de compartilhamento de aplicativo solicitado em relação ao MaxPortSharingLevel do modelo antes de persistir os aplicativos do espaço de trabalho. Isso permite que o proprietário de um espaço de trabalho com um token de agente exceda o máximo configurado pelo administrador, potencialmente registrando um aplicativo de subagente como PUBLIC mesmo quando a política está definida como owner. Isso expõe o aplicativo a usuários não autenticados via domínio de aplicativo wildcard. A exploração requer a capacidade de registrar aplicativos de subagente em um espaço de trabalho controlado pelo invasor e limita-se a implantações que utilizam a política de compartilhamento de portas Enterprise e hostnames de aplicativos wildcard.
Recommendations Atualize para a versão 2.29.7 ou posterior. Atualize para a versão 2.32.7 ou posterior. Atualize para a versão 2.33.8 ou posterior. Atualize para a versão 2.34.2 ou posterior. Desative os hostnames de aplicativos wildcard configurando a variável CODER WILDCARD ACCESS URL para bloquear o roteamento de aplicativos baseado em subdomínios.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55432
GHSA-X9QQ-2QH5-8RXF
GO-2026-5926

Produtos afetados

Coder