PT-2026-56077 · Coder · Coder
Publicado
2026-07-06
·
Atualizado
2026-07-08
·
CVE-2026-55433
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Coder versões anteriores a 2.29.17
Coder versões anteriores a 2.32.7
Coder versões anteriores a 2.33.8
Coder versões anteriores a 2.34.2
Description
Existe uma falha de bypass de autorização no endpoint de recriação de devcontainer. O endpoint dependia de um middleware de rota que verificava apenas as permissões
ActionRead no workspace, falhando em realizar uma verificação de ActionUpdate antes de disparar uma reconstrução destrutiva. Um principal autenticado com acesso de leitura de baixo privilégio, como um Template Admin ou Org Template Admin, poderia explorar isso para recriar um devcontainer. Esta ação destrói o estado não commitado dentro do container e pode levar a uma negação de serviço se executada repetidamente.Recommendations
Atualizar para a versão 2.29.17
Atualizar para a versão 2.32.7
Atualizar para a versão 2.33.8
Atualizar para a versão 2.34.2
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Coder