Coder < 2.29.17 / 2.30.x < 2.32.7 / 2.33.x < 2.33.8 / 2.34.x < 2.34.2 の複数の脆弱性

medium Nessus プラグイン ID 326280

概要

リモートホストに、複数の脆弱性の影響を受けるアプリケーションがインストールされています。

説明

リモートホストにインストールされている Coder のバージョンは 2.29.17、2.32.7、2.33.8 または 2.34.2 より前です。そのため、以下の複数の脆弱性の影響を受けます。

- ユーザー管理者ロールにより、所有者アカウントのパスワードがリセットされ、ユーザー管理者から所有者への権限昇格が引き起こされる可能性があります。(CVE-2026-55077)

- ワークスペースアプリのアップサートにより、ユーザー制御のアプリ ID を介してクロスワークスペースエージェントの再バインドが可能になり、トラフィックの傍受が可能になります。(CVE-2026-55429)

- coder config-ssh コマンドが、埋め込まれた改行をサニタイズせずにサーバー提供の SSH 設定をユーザーの SSH 設定ファイルに書き込んでおり、任意の SSH 設定インジェクションが可能でした。(CVE-2026-55427)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Coder をバージョン 2.29.17、2.32.7、2.33.8、2.34.2 以降に更新してください。

参考資料

https://github.com/coder/coder/security/advisories/GHSA-29xf-69gq-m9jx

https://github.com/coder/coder/security/advisories/GHSA-75vm-6w67-gwvp

https://github.com/coder/coder/security/advisories/GHSA-9r87-mvcw-x35f

https://github.com/coder/coder/security/advisories/GHSA-9rjw-3gwp-f59v

https://github.com/coder/coder/security/advisories/GHSA-mcqq-fqgf-rxwm

https://github.com/coder/coder/security/advisories/GHSA-v54h-cp2w-9x4g

https://github.com/coder/coder/security/advisories/GHSA-wrq8-fcv5-8hvp

プラグインの詳細

深刻度: Medium

ID: 326280

ファイル名: coder_multiple_vulns_jun_2026.nasl

バージョン: 1.2

タイプ: Local

ファミリー: Misc.

公開日: 2026/7/10

更新日: 2026/7/13

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5

パーセンタイル: 94.14

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-55429

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-55431

脆弱性情報

CPE: cpe:/a:coder:coder

必要な KB アイテム: installed_sw/Coder

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/6/12

脆弱性公開日: 2026/6/12

参照情報

CVE: CVE-2026-55075, CVE-2026-55076, CVE-2026-55077, CVE-2026-55427, CVE-2026-55428, CVE-2026-55429, CVE-2026-55431

IAVB: 2026-B-0188