検出

コーダー機密オブジェクトのログに記録されたサニタイズされていない脆弱性CVE-2025-66411

high Nessus プラグイン ID 278305

Language:

概要

Coderがインストールされているリモートホストは、脆弱性の影響を受けます。

説明

したがって、 2.26.5、 2.27.7、 2.28.4 より前の Coder バージョンは、平文ロギングを介した機密情報漏洩に対して脆弱です。

機密性の高い値を含む Workspace Agent マニフェストが、サニタイズされていない平文で記録されました。Coder Workspace (VM、K8s Pod など) またはサードパーティシステム (SIEM、ロギングスタック) への限定されたローカルアクセス権を持つ攻撃者が、これらのログにアクセスする可能性があります。この脆弱性は 2.26.5、 2.27.7、 2.28.4で修正されています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Coder をバージョン 2.26.5、 2.27.7、または 2.28.4 以降に更新してください。

参考資料

https://github.com/coder/coder/security/advisories/GHSA-jf75-p25m-pw74

プラグインの詳細

深刻度: High

ID: 278305

ファイル名: coder_CVE-2025-66411.nasl

バージョン: 1.2

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2025/12/11

更新日: 2025/12/12

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v3

リスクファクター: High

基本値: 7.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:coder:coder

必要な KB アイテム: installed_sw/Coder

パッチ公開日: 2025/11/27

脆弱性公開日: 2025/12/3

参照情報

CVE: CVE-2025-66411

IAVA: 2025-A-0906