Pubblicato il 2026-07-07 · Fonte: NVD NIST
La vulnerabilità CVE-2026-44454 è stata scoperta in Coder, una piattaforma di sviluppo remoto. Prima delle versioni 2.29.7 e 2.30.2, la creazione di workspace tramite `mode=auto` deep links poteva essere effettuata con parametri controllati dall'attaccante senza richiedere conferma utente. Ciò ha reso possibile la creazione di workspace con impostazioni non sicure. Le versioni 2.29.7 e 2.30.2 hanno introdotto un dialogo di consenso che richiede la conferma utente prima della creazione del workspace.
Un attaccante potrebbe sfruttare questa vulnerabilità per creare workspace con parametri personalizzati, potenzialmente compromettendo la sicurezza degli ambienti di sviluppo remoti. I sistemi a rischio sono quelli che utilizzano Coder per la provisione di ambienti di sviluppo remoti tramite Terraform.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Coder alle versioni 2.29.7 o 2.30.2 o successive. Inoltre, è importante assicurarsi che gli utenti siano consapevoli dei rischi associati alla creazione di workspace con parametri non sicuri e che siano addestrati a utilizzare la piattaforma in modo sicuro.
La vulnerabilità CVE-2026-44454 è una vulnerabilità di sicurezza in Coder che permette a un attaccante di controllare parametri di workspace senza conferma utente
Le versioni di Coder precedenti alle versioni 2.29.7 e 2.30.2 sono vulnerabili
Per proteggersi da questa vulnerabilità, è necessario aggiornare Coder alle versioni 2.29.7 o 2.30.2 o successive e assicurarsi che gli utenti siano consapevoli dei rischi associati alla creazione di workspace con parametri non sicuri
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.