PT-2026-56077 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-08

·

CVE-2026-55433

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas Coder versões anteriores a 2.29.17 Coder versões anteriores a 2.32.7 Coder versões anteriores a 2.33.8 Coder versões anteriores a 2.34.2
Description Existe uma falha de bypass de autorização no endpoint de recriação de devcontainer. O endpoint dependia de um middleware de rota que verificava apenas as permissões ActionRead no workspace, falhando em realizar uma verificação de ActionUpdate antes de disparar uma reconstrução destrutiva. Um principal autenticado com acesso de leitura de baixo privilégio, como um Template Admin ou Org Template Admin, poderia explorar isso para recriar um devcontainer. Esta ação destrói o estado não commitado dentro do container e pode levar a uma negação de serviço se executada repetidamente.
Recommendations Atualizar para a versão 2.29.17 Atualizar para a versão 2.32.7 Atualizar para a versão 2.33.8 Atualizar para a versão 2.34.2

Exploit

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55433
GHSA-JQJ2-X4C5-JFXM
GO-2026-5922

Produtos afetados

Coder