Plataforma
java
Componente
org.eclipse.lemminx:lemminx-parent
Corregido en
0.19.1
0.19.0
Se ha identificado una vulnerabilidad de tipo SSRF (Server-Side Request Forgery) y DoS (Denial of Service) en la extensión vscode-xml, utilizada con Eclipse Lemminx. Esta vulnerabilidad, presente en versiones anteriores a 0.19.0, se debe a la posibilidad de descargar esquemas maliciosos que pueden llevar a la ejecución de solicitudes no autorizadas o a la saturación del sistema. La actualización a la versión 0.19.0 corrige esta vulnerabilidad y es altamente recomendada.
La vulnerabilidad permite a un atacante, a través de la descarga de esquemas maliciosos, realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible o comprometiendo la seguridad de la aplicación. El ataque DoS se produce al descargar archivos de esquema excesivamente grandes, lo que puede agotar los recursos del servidor y provocar una interrupción del servicio. Esta vulnerabilidad es particularmente preocupante porque puede ser explotada sin autenticación, lo que amplía su superficie de ataque. Un atacante podría, por ejemplo, utilizar la SSRF para acceder a servicios de administración internos o para leer archivos de configuración confidenciales.
Esta vulnerabilidad ha sido publicada públicamente y, aunque no se han reportado casos de explotación activa a gran escala, la facilidad de explotación la convierte en un objetivo atractivo para atacantes. No se ha añadido a la lista KEV de CISA. La disponibilidad de un PoC público aumenta el riesgo de explotación. La fecha de publicación de la CVE es 2022-02-19.
Developers and organizations using the vscode-xml extension in Visual Studio Code are at risk. This includes teams working with XML-based projects, particularly those who rely on schema validation or automatic schema downloads. Shared hosting environments where multiple users share a single VS Code instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to impact other users.
• windows / supply-chain: Monitor VS Code processes (code.exe) for unusual network connections using Get-Process | Where-Object {$_.ProcessName -eq 'code'}. Check for suspicious entries in the VS Code extension directory (typically %USERPROFILE%/.vscode/extensions) for modified or unexpected files.
Get-Process | Where-Object {$_.ProcessName -eq 'code'} | Select-Object Name, Id, CPU, WorkingSet• linux / server: Monitor VS Code processes (code) using ps aux | grep code. Examine system logs (e.g., /var/log/syslog) for errors related to schema downloads or network connections originating from the VS Code process.
ps aux | grep code• generic web: Monitor VS Code instances for outbound HTTP requests to unusual or unexpected domains. Examine VS Code's network traffic using tools like Wireshark or tcpdump for suspicious patterns.
disclosure
patch
Estado del Exploit
EPSS
0.38% (60% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la extensión vscode-xml a la versión 0.19.0 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la red desde el servidor donde se ejecuta vscode-xml. Además, se puede configurar un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten descargar esquemas maliciosos. Monitorear los registros del servidor en busca de patrones de tráfico inusuales también puede ayudar a detectar y prevenir ataques.
Actualice el plugin vscode-xml a la versión 0.19.0 o superior. Esta actualización corrige la vulnerabilidad SSRF y DoS. Puede actualizar el plugin a través del marketplace de Visual Studio Code.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-0671 is a critical SSRF and DoS vulnerability in the vscode-xml extension for Visual Studio Code, allowing attackers to trigger large file downloads and potentially access internal resources.
You are affected if you are using the vscode-xml extension in Visual Studio Code prior to version 0.19.0.
Upgrade the vscode-xml extension to version 0.19.0 or later. Temporarily disable schema downloads if upgrading is not immediately possible.
While no direct exploitation has been publicly reported, the SSRF component presents a significant risk and warrants careful attention.
Refer to the vscode-xml extension's release notes and the VS Code security advisories for details: https://github.com/microsoft/vscode-xml/releases/tag/0.19.0
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.