PT-2026-56080 · Coder · Coder
Publicado
2026-07-06
·
Atualizado
2026-07-08
·
CVE-2026-55436
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Coder versões 2.30.0 até 2.32.6
Coder versões 2.33.0 até 2.33.7
Coder versões 2.34.0 até 2.34.1
Description
O AI Bridge Proxy (
aibridgeproxyd) cria um servidor goproxy que, por padrão, define InsecureSkipVerify: true. Em configurações sem um proxy upstream, as conexões HTTPS de saída para a URL de acesso do Coder aceitam qualquer certificado TLS. Isso permite que um invasor em uma posição de man-in-the-middle entre o AI Bridge Proxy e o servidor Coder intercepte tokens de sessão do Coder, chaves de API de provedores fornecidas pelo usuário e corpos completos de requisição e resposta, incluindo prompts e conclusões. O transporte padrão também respeita as variáveis de ambiente HTTP PROXY e HTTPS PROXY, o que poderia permitir o redirecionamento de tráfego. Implantações onde o proxy e o servidor estão co-localizados via loopback não são afetadas.Recommendations
Atualize o Coder versões 2.30.0 até 2.32.6 para a versão 2.32.7.
Atualize o Coder versões 2.33.0 até 2.33.7 para a versão 2.33.8.
Atualize o Coder versões 2.34.0 até 2.34.1 para a versão 2.34.2.
Garanta que a URL de acesso do Coder utilize um certificado confiável e proteja o caminho da rede entre o AI Bridge Proxy e o servidor Coder usando loopback ou mTLS.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Coder