Vulnerabilidad de Path Traversal (“Zip Slip”) en la Instalación de Extensiones de DevToys

La vulnerabilidad de Path Traversal en DevToys permite a un atacante, a través de un paquete de extensión malicioso (NUPKG), manipular las rutas de archivo durante el proceso de instalación. Al incluir entradas de archivo manipuladas, como ../../…/target-file, el atacante puede forzar la escritura de archivos fuera del directorio de extensiones previsto. Esto significa que un atacante podría potencialmente sobreescribir archivos de configuración críticos del sistema, archivos ejecutables o incluso archivos de datos sensibles, comprometiendo la seguridad y la estabilidad del sistema. La ejecución exitosa de este ataque requiere que el usuario instale el paquete de extensión malicioso, lo que podría lograrse a través de ingeniería social o mediante la inclusión del paquete en un canal de distribución comprometido. El impacto potencial es alto, ya que permite la ejecución de código arbitrario con los privilegios del usuario de DevToys.

Developers who utilize DevToys, particularly those who routinely install extensions from various sources, are at heightened risk. Users who have not implemented robust security practices, such as disabling extension installation from untrusted sources, are also more vulnerable. Shared development environments or systems where multiple developers share the same DevToys installation could amplify the impact of a successful exploitation.

• windows / supply-chain: Monitor for unusual file creation activity within the DevToys installation directory (e.g., using Process Monitor). Check Autoruns for suspicious entries related to DevToys extensions.

Get-ChildItem -Path "C:\Program Files\DevToys\Extensions" -Recurse -Force | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Sort-Object LastWriteTime

• generic web: While not directly applicable to DevToys, monitor network traffic for attempts to access or download DevToys extension packages from untrusted sources.

1. 2026-01-10Disclosure

   disclosure

1. Reservado2026-01-08
2. Publicada2026-01-10
3. Modificada2026-01-12
4. EPSS actualizado2026-03-23

La mitigación principal para esta vulnerabilidad es actualizar DevToys a la versión 2.0.9.0 o superior, que incluye la corrección para el problema de Path Traversal. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda tomar medidas de mitigación temporales. Estas medidas podrían incluir restringir la instalación de extensiones de fuentes no confiables y monitorear la actividad del sistema en busca de patrones sospechosos. Aunque no es una solución completa, la implementación de una política de seguridad que limite los privilegios del usuario de DevToys puede reducir el impacto potencial de un ataque exitoso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las rutas de archivo durante la instalación de extensiones se validen correctamente.