Coder < 2.29.17 / 2.30.x < 2.32.7 / 2.33.x < 2.33.8 / 2.34.x < 2.34.2 多個漏洞

medium Nessus Plugin ID 326280

概要

遠端主機安裝的應用程式受到多個弱點影響。

說明

遠端主機上安裝的 Coder 版本為 2.29.17、2.32.7、2.33.8 或 2.34.2 之前版本。因此,會受到多個弱點影響:

- 使用者管理員角色可以重設擁有者帳戶密碼,導致權限從使用者管理員提升為擁有者。(CVE-2026-55077)

- 工作區應用程式更新插入允許透過使用者控制的應用程式識別碼跨工作區代理程式重新綁定,從而啟用流量攔截。(CVE-2026-55429)

- coder config-ssh 命令將伺服器提供的 SSH 設定寫入使用者的 SSH 設定中,而不清理內嵌的換行符,從而允許任意 SSH 配置插入。(CVE-2026-55427)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Coder 更新到版本 2.29.17、2.32.7、2.33.8 或 2.34.2 更新版本。

另請參閱

https://github.com/coder/coder/security/advisories/GHSA-29xf-69gq-m9jx

https://github.com/coder/coder/security/advisories/GHSA-75vm-6w67-gwvp

https://github.com/coder/coder/security/advisories/GHSA-9r87-mvcw-x35f

https://github.com/coder/coder/security/advisories/GHSA-9rjw-3gwp-f59v

https://github.com/coder/coder/security/advisories/GHSA-mcqq-fqgf-rxwm

https://github.com/coder/coder/security/advisories/GHSA-v54h-cp2w-9x4g

https://github.com/coder/coder/security/advisories/GHSA-wrq8-fcv5-8hvp

Plugin 詳細資訊

嚴重性: Medium

ID: 326280

檔案名稱: coder_multiple_vulns_jun_2026.nasl

版本: 1.2

類型: Local

系列: Misc.

已發布: 2026/7/10

已更新: 2026/7/13

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5

百分位: 94.14

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-55429

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2026-55431

弱點資訊

CPE: cpe:/a:coder:coder

必要的 KB 項目: installed_sw/Coder

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/6/12

弱點發布日期: 2026/6/12

參考資訊

CVE: CVE-2026-55075, CVE-2026-55076, CVE-2026-55077, CVE-2026-55427, CVE-2026-55428, CVE-2026-55429, CVE-2026-55431

IAVB: 2026-B-0188