anchore_overrides,nvd
Coder
Уязвимости
9
Эксплуатируемые
0
Критический
1
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2023-26114Версии пакета code-server до 4.10.1 подвержены отсутствию проверки источника в подтверждениях WebSockets. Эксплуатация этой уязвимости может позволить злоумышленнику в определенных сценариях получить доступ к данным и подключиться к экземпляру code-server.
CVE-2026-35454Рынок расширения кода является альтернативой VS Code Marketplace с открытым исходным кодом. До 2.4.2 уязвимость Zip Slip в кодере/код-маркетплейсе позволяла вредоносному файлу VSIX записывать произвольные файлы за пределами каталога расширений. ExtractZip передал необработанные имена записи на телефонный звонок, который записывал файлы через filepath. Присоединяясь без проверки границ; filepath.Join разрешил .. компоненты, но не помешал результату избежать базового пути. Эта уязвимость зафиксирована в пункте 2.4.2.
CVE-2025-47269code-server, инструмент для запуска VS Code на любом устройстве через браузер, содержит уязвимость, позволяющую злоумышленнику получить доступ к токену сессии через специально сформированный URL с использованием субпути прокси. Это может привести к полной компрометации машины, на которой запущен code-server.
Проблема решена в версии 4.99.4. Пользователям рекомендуется обновиться до этой или более поздней версии.
Источники:
- [1] https://github.com/coder/code-server/security/advisories/GHSA-p483-wpfp-42cj
- [2] https://github.com/coder/code-server/commit/47d6d3ada5aadef6d221f3d612401eb3dad9299e
- [3] https://github.com/coder/code-server/releases/tag/v4.99.4
CVE-2024-27918Coder позволяет организациям предоставлять удаленные среды разработки через Terraform. До версий 2.6.1, 2.7.3 и 2.8.4 уязвимость в аутентификации OIDC Coder может позволить злоумышленнику обойти проверку `CODER_OIDC_EMAIL_DOMAIN` и создать учетную запись с электронной почтой, не входящей в список разрешенных. Развертывания подвержены риску только в том случае, если провайдер OIDC позволяет пользователям создавать учетные записи у провайдера. Во время регистрации OIDC электронная почта пользователя неправильно проверялась на соответствие разрешенным `CODER_OIDC_EMAIL_DOMAIN`. Это может позволить пользователю с доменом, который лишь частично соответствует разрешенному домену, успешно войти в систему или зарегистрироваться. Злоумышленник может зарегистрировать доменное имя, которое использует эту уязвимость, и зарегистрироваться в экземпляре Coder с общедоступным провайдером OIDC.
Экземпляры Coder с включенным OIDC и защищенные конфигурацией `CODER_OIDC_EMAIL_DOMAIN` подвержены риску. Экземпляры Coder, использующие частный провайдер OIDC, не подвержены риску, поскольку произвольные пользователи не могут зарегистрироваться через частный провайдер OIDC, не имея предварительно учетной записи у провайдера. Общедоступные провайдеры OIDC подвержены риску. Аутентификация GitHub и внешняя аутентификация не подвержены риску. Эта уязвимость устранена в версиях 2.8.4, 2.7.3 и 2.6.1. Рекомендуется клиентам как можно скорее обновить свои развертывания, если они используют аутентификацию OIDC с настройкой `CODER_OIDC_EMAIL_DOMAIN`.
CVE-2025-58437Coder позволяет организациям предоставлять удаленные среды разработки через Terraform. В версиях 2.22.0-2.24.3, 2.25.0 и 2.25.1 Coder может быть скомпрометирован путем небезопасной обработки сеансов в готовых рабочих помещениях. Coder автоматически генерирует токен сеанса для пользователя, когда рабочее пространство запускается. Он автоматически выставляется через coder_workspace_owner.session_token. Предварительно построенные рабочие места изначально принадлежат встроенному пользователю системы престройки. Когда заявлено предварительно построенное рабочее пространство, для пользователя генерируется новый токен сеанса, который претендовал на рабочее пространство, но предыдущий токен сессии для пользователя prebuilds не истек. Любые шаблоны рабочего пространства Coder, которые сохраняют этот автоматически сгенерированный токен сессии, потенциально подвержены влиянии. Это исправлено в версиях 2.24.4 и 2.25.2.
CVE-2021-3810Code-server уязвим для неэффективной сложности регулярных выражений.
CVE-2025-59956AgentAPI (< 0.4.0) допускает атаку DNS‑rebinding, когда сервер запущен по протоколу HTTP на `localhost`. Любой пользователь может получить доступ к эндпоинту `/messages` и извлечь историю сообщений, содержащую секретные ключи и конфиденциальные файлы [1][2]. Уязвимость устранена в версии 0.4.0, где реализована проверка заголовков `Origin` и `Host` [3].
CVE-2021-42648Уязвимость межсайтового скриптинга (XSS) существует в Coder Code-Server до 3.12.0, что позволяет злоумышленникам выполнять произвольный код через специально созданный URL-адрес.
CVE-2025-66411Coder позволяет организациям предоставлять удаленные среды разработки через Terraform. До 2.26.5, 2.27.7 и 2.28.4, манифесты агентов рабочего пространства, содержащие чувствительные значения, были зарегистрированы в открытом тексте без дезинфекций. Злоумышленник с ограниченным локальный доступ к рабочему пространству Coder (VM, K8s Pod и т. д.) или сторонней системе (SIEM, лесозаготовительный стек) может получить доступ к этим журналам. Эта уязвимость зафиксирована в пунктах 2.26.5, 2.27.7 и 2.28.4.