CVE-2026-55431
coder coder 취약점
- 대응 우선순위
- 점검
- CVSS
- 7.7
- EPSS
- - 백분위 -
- CISA KEV
- 미등록
- 조치 기한
- -
- 공개일
- 2026.07.08
CVSS 위험도가 높아 영향 여부를 우선 점검할 취약점
Coder allows organizations to provision remote development environments via Terraform. Prior to versions 2.29.7, 2.32.7, 2.33.8, and 2.34.2, `coder open app` opens external workspace-app URLs without validating the scheme or host. When an external app URL contains the `$SESSION_TOKEN` placeholder the CLI replaces it with the user's real session token before handing the URL to the OS open handler. Practical exploitation requires the victim to run `coder open app` against a workspace whose external app definition the attacker controls. Only a malicious template author can control external app...
제품 coder
영향 버전 coder >= 2.34.0, < 2.34.2, >= 2.33.0, < 2.33.8, >= 2.30.0, < 2.32.7, < 2.29.17
수정 버전 coder · 수정 버전은 공급사 공식자료 확인 필요
확인방법, 조치방안, 조치 후 확인사항을 요약해 제공합니다.
coder의 현재 전체 버전이 공식 영향 범위(coder >= 2.34.0, < 2.34.2, >= 2.33.0, < 2.33.8, >= 2.30.0, < 2.32.7, < 2.29.17)에 포함되는지 확인합니다. OS를 선택하면 해당 OS의 제품·패키지·KB·APAR 확인 명령만 표시됩니다.
공급사 패치를 적용하고 비밀정보를 소스·설정파일·로그에서 제거해 비밀관리 시스템 또는 안전한 환경변수로 이전합니다.
패치 후 같은 명령으로 전체 버전을 다시 확인해 coder · 수정 버전은 공급사 공식자료 확인 필요 기준을 충족하는지 확인합니다. 이어서 자격증명 노출·하드코딩 관련 오류·공격 흔적이 새로 발생하지 않는지 확인합니다.
CVSS 벡터 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
CWE CWE-522, CWE-601