Vulnerabilidad en Coder (CVE-2024-27918)

Coder permite a las organizaciones aprovisionar entornos de desarrollo remotos a través de Terraform. Antes de las versiones 2.6.1, 2.7.3 y 2.8.4, una vulnerabilidad en la autenticación OIDC de Coder podía permitir a un atacante eludir la verificación `CODER_OIDC_EMAIL_DOMAIN` y crear una cuenta con un correo electrónico que no estaba en la lista de permitidos. Las implementaciones solo se ven afectadas si el proveedor de OIDC permite a los usuarios crear cuentas en el proveedor. Durante el registro de OIDC, el correo electrónico del usuario se validó incorrectamente con los `CODER_OIDC_EMAIL_DOMAIN`s permitidos. Esto podría permitir que un usuario con un dominio que solo coincidiera parcialmente con un dominio permitido inicie sesión o se registre exitosamente. Un atacante podría registrar un nombre de dominio que explotara esta vulnerabilidad y registrarse en una instancia de Coder con un proveedor público de OIDC. Las instancias de Coder con OIDC habilitado y protegido por la configuración `CODER_OIDC_EMAIL_DOMAIN` se ven afectadas. Las instancias de Coder que utilizan un proveedor OIDC privado no se ven afectadas, ya que los usuarios arbitrarios no pueden registrarse a través de un proveedor OIDC privado sin tener primero una cuenta en el proveedor. Los proveedores públicos de OIDC se ven afectados. La autenticación de GitHub y la autenticación externa no se ven afectadas. Esta vulnerabilidad se soluciona en las versiones 2.8.4, 2.7.3 y 2.6.1. Todas las versiones anteriores a estos parches se ven afectadas por la vulnerabilidad. *Se recomienda que los clientes actualicen sus implementaciones lo antes posible si utilizan autenticación OIDC con la configuración `CODER_OIDC_EMAIL_DOMAIN`.