Los expertos en seguridad han expuesto información técnica sobre una vulnerabilidad de ejecución remota de código en Visual Studio Code, registrada como CVE-2023-36742 con puntuación CVSS de 7.8 junto con un exploit de prueba de concepto público.
Se manifiesta al trabajar con un archivo package.json creado maliciosamente, lo que puede llevar a la ejecución de comandos localmente. La explotación ocurre cuando un atacante persuade a un usuario de VS Code para abrir un proyecto malicioso e interactuar con entradas mal formateadas en las secciones de dependencias del archivo package.json.
VS Code utiliza el comando npm local para obtener información sobre las dependencias de los paquetes. En esta vulnerabilidad, la dependencia de un paquete puede manipularse para que la herramienta npm ejecute un script sin detección.
Los investigadores han revelado detalles técnicos y un PoC que demuestra cómo un atacante puede aprovechar la vulnerabilidad para ejecutar código arbitrario en un sistema vulnerable. Un video proporcionado por los investigadores ilustra la explotación de la falla en Visual Studio Code.
Versiones afectadas
- Visual Studio Code en sus versiones anteriores a 1.82.0
Recomendación
- Se insta a los usuarios a actualizar a la última versión de VS Code (1.82.1 o posterior) y ser cautelosos al abrir proyectos de fuentes no confiables debido al potencial de ataques de ejecución remota de código en espacios de trabajo no confiables.
Referencias: