PT-2026-56080 · Coder · Coder

Publicado

2026-07-06

·

Atualizado

2026-07-08

·

CVE-2026-55436

CVSS v3.1

7.4

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Coder versões 2.30.0 até 2.32.6 Coder versões 2.33.0 até 2.33.7 Coder versões 2.34.0 até 2.34.1
Description O AI Bridge Proxy (aibridgeproxyd) cria um servidor goproxy que, por padrão, define InsecureSkipVerify: true. Em configurações sem um proxy upstream, as conexões HTTPS de saída para a URL de acesso do Coder aceitam qualquer certificado TLS. Isso permite que um invasor em uma posição de man-in-the-middle entre o AI Bridge Proxy e o servidor Coder intercepte tokens de sessão do Coder, chaves de API de provedores fornecidas pelo usuário e corpos completos de requisição e resposta, incluindo prompts e conclusões. O transporte padrão também respeita as variáveis de ambiente HTTP PROXY e HTTPS PROXY, o que poderia permitir o redirecionamento de tráfego. Implantações onde o proxy e o servidor estão co-localizados via loopback não são afetadas.
Recommendations Atualize o Coder versões 2.30.0 até 2.32.6 para a versão 2.32.7. Atualize o Coder versões 2.33.0 até 2.33.7 para a versão 2.33.8. Atualize o Coder versões 2.34.0 até 2.34.1 para a versão 2.34.2. Garanta que a URL de acesso do Coder utilize um certificado confiável e proteja o caminho da rede entre o AI Bridge Proxy e o servidor Coder usando loopback ou mTLS.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55436
GHSA-84RM-42XW-MX52
GO-2026-5920

Produtos afetados

Coder