Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-46354
CVSS 9.1 — CRITICO

CVE-2026-46354: Vulnerabilità critica in Coder

Pubblicato il 2026-07-07 · Fonte: NVD NIST

CVE ID
CVE-2026-46354
CVSS Score
9.1
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Riassunto tecnico

La vulnerabilità CVE-2026-46354 è una debolezza critica che colpisce le versioni precedenti di Coder, permettendo agli attaccanti di accedere a informazioni sensibili senza autenticazione. La vulnerabilità sfrutta una lacuna nella verifica della firma PKCS#7, consentendo agli attaccanti di embeddere un certificato Azure legittimo accanto a contenuti arbitrari. Le versioni interessate sono quelle precedenti a 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 e 2.33.3.

Impatto

Un attaccante può sfruttare questa vulnerabilità per accedere al token di sessione dell'agente del workspace della vittima, semplicemente conoscendo l'ID della macchina virtuale target (vmId), che è un UUIDv4. Ciò può consentire l'accesso non autorizzato a informazioni sensibili e potenzialmente portare a ulteriori attacchi.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, è consigliabile aggiornare Coder alle versioni 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 o 2.33.3. In alternativa, è possibile riconfigurare i template di Azure per utilizzare l'autenticazione basata su token anziché azure-instance-identity.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-46354?

La vulnerabilità CVE-2026-46354 è una debolezza critica che colpisce le versioni precedenti di Coder, permettendo agli attaccanti di accedere a informazioni sensibili senza autenticazione

Quali versioni di Coder sono interessate?

Le versioni precedenti a 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 e 2.33.3

Come proteggersi da CVE-2026-46354?

È consigliabile aggiornare Coder alle versioni 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 o 2.33.3, o riconfigurare i template di Azure per utilizzare l'autenticazione basata su token

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.