Coder 2.30.x < 2.32.7 / 2.33.x < 2.33.8 / 2.34.x < 2.34.2 AI Bridge プロキシ TLS 検証バイパス

high Nessus プラグイン ID 326278

概要

リモートホストには脆弱性に影響を受けるアプリケーションがインストールされています。

説明

リモートホストにインストールされている Coder のバージョンは、2.32.7 より前の 2.30.x、2.33.8 より前の 2.33.x、または 2.34.2 より前の 2.34.x です。したがって、脆弱性の影響を受けます。

AI Bridge Proxy は、デフォルト構成で TLS 証明書の検証をスキップします。プロキシが goproxy サーバーを作成し、そのデフォルトの転送が InsecureSkipVerify を設定し、Upstream プロキシが構成されるときにのみ安全な転送が割り当てられます。デフォルトの構成(アップストリームプロキシなし)では、コーダーアクセスURLへの送信HTTPSは任意のTLS証明書を受け入れたため、オンパスの攻撃者がセッショントークンとAPIキーを傍受する可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Coder をバージョン 2.32.7、 2.33.8、 2.34.2 以降に更新してください。

参考資料

https://github.com/coder/coder/security/advisories/GHSA-84rm-42xw-mx52

プラグインの詳細

深刻度: High

ID: 326278

ファイル名: coder_CVE-2026-55436.nasl

バージョン: 1.1

タイプ: Local

ファミリー: Misc.

公開日: 2026/7/10

更新日: 2026/7/10

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.3

パーセンタイル: 53.66

CVSS v2

リスクファクター: High

基本値: 7.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2026-55436

CVSS v3

リスクファクター: High

基本値: 7.4

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

脆弱性情報

CPE: cpe:/a:coder:coder

必要な KB アイテム: installed_sw/Coder

パッチ公開日: 2026/6/12

脆弱性公開日: 2026/6/12

参照情報

CVE: CVE-2026-55436

IAVB: 2026-B-0188