Pubblicato il 2026-07-07 · Fonte: NVD NIST
La vulnerabilità CVE-2026-46354 è una debolezza critica che colpisce le versioni precedenti di Coder, permettendo agli attaccanti di accedere a informazioni sensibili senza autenticazione. La vulnerabilità sfrutta una lacuna nella verifica della firma PKCS#7, consentendo agli attaccanti di embeddere un certificato Azure legittimo accanto a contenuti arbitrari. Le versioni interessate sono quelle precedenti a 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 e 2.33.3.
Un attaccante può sfruttare questa vulnerabilità per accedere al token di sessione dell'agente del workspace della vittima, semplicemente conoscendo l'ID della macchina virtuale target (vmId), che è un UUIDv4. Ciò può consentire l'accesso non autorizzato a informazioni sensibili e potenzialmente portare a ulteriori attacchi.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile aggiornare Coder alle versioni 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 o 2.33.3. In alternativa, è possibile riconfigurare i template di Azure per utilizzare l'autenticazione basata su token anziché azure-instance-identity.
La vulnerabilità CVE-2026-46354 è una debolezza critica che colpisce le versioni precedenti di Coder, permettendo agli attaccanti di accedere a informazioni sensibili senza autenticazione
Le versioni precedenti a 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 e 2.33.3
È consigliabile aggiornare Coder alle versioni 2.24.5, 2.29.13, 2.30.8, 2.31.12, 2.32.2 o 2.33.3, o riconfigurare i template di Azure per utilizzare l'autenticazione basata su token
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.