Coder 2.30.x < 2.32.7 / 2.33.x < 2.33.8 / 2.34.x < 2.34.2 AI 橋接代理TLS驗證繞過

high Nessus Plugin ID 326278

概要

遠端主機上安裝的一個應用程式受到弱點影響。

說明

遠端主機上安裝的 Coder 版本在 2.30.x 之前 2.32.7、 2.33.82.33.x 之前或2.34.x之前2.34.2。因此,會受到一個弱點影響。

在預設設定中,AI 橋接器 Proxy 會略過 TLS 憑證驗證。Proxy 會建立 goproxy 伺服器,其預設傳輸集為 InsecureSkipVerify,且只有在設定上游 Proxy 時才指派安全傳輸。在預設設定 (無上游 Proxy) 中,編碼器存取 URL 的傳出 HTTPS 會接受任何 TLS 憑證,因此路徑上的攻擊者可能會攔截工作階段權杖和 API 金鑰。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Coder 更新至版本 2.32.7、 2.33.8或 2.34.2 或更新版本。

另請參閱

https://github.com/coder/coder/security/advisories/GHSA-84rm-42xw-mx52

Plugin 詳細資訊

嚴重性: High

ID: 326278

檔案名稱: coder_CVE-2026-55436.nasl

版本: 1.1

類型: Local

系列: Misc.

已發布: 2026/7/10

已更新: 2026/7/10

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.3

百分位: 53.66

CVSS v2

風險因素: High

基本分數: 7.1

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2026-55436

CVSS v3

風險因素: High

基本分數: 7.4

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

弱點資訊

CPE: cpe:/a:coder:coder

必要的 KB 項目: installed_sw/Coder

修補程式發佈日期: 2026/6/12

弱點發布日期: 2026/6/12

參考資訊

CVE: CVE-2026-55436

IAVB: 2026-B-0188