Plataforma
go
Componente
github.com/coder/code-marketplace
Corregido en
2.4.3
1.2.3-0.20260402184705-988440dee05f
La vulnerabilidad CVE-2026-35454 es un fallo de Path Traversal descubierto en github.com/coder/code-marketplace que permite a un atacante escribir archivos arbitrarios fuera del directorio de extensiones. Esta vulnerabilidad, clasificada con una severidad de HIGH (CVSS 7.5), se debe a una falta de validación en el manejo de nombres de archivos ZIP. Afecta a versiones de code-marketplace menores o iguales a v2.4.1. Una actualización a la versión 1.2.3-0.20260402184705-988440dee05f resuelve este problema.
Un atacante puede explotar esta vulnerabilidad cargando un archivo VSIX malicioso que contiene nombres de archivos ZIP diseñados para escapar del directorio de extensiones previsto. Al manipular los nombres de las entradas ZIP, el atacante puede escribir archivos en ubicaciones arbitrarias en el sistema de archivos, potencialmente sobrescribiendo archivos de configuración críticos, ejecutando código malicioso o comprometiendo la integridad del sistema. La gravedad de esta vulnerabilidad radica en su potencial para permitir la ejecución remota de código o el acceso no autorizado a datos sensibles, dependiendo de los permisos del usuario que ejecuta code-marketplace. Esta técnica, conocida como Zip Slip, ha sido observada en otras aplicaciones que procesan archivos ZIP sin una validación adecuada.
La vulnerabilidad CVE-2026-35454 fue publicada el 4 de abril de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad Zip Slip la hace susceptible a ser explotada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing github.com/coder/code-marketplace in their development environments, particularly those relying on VSIX file extensions for code or tool integration, are at risk. Environments with legacy configurations or those lacking robust input validation practices are especially vulnerable.
• linux / server:
find /opt/code-marketplace -name '*.zip' -exec grep -l '..\..' {} + | xargs ls -l• generic web:
curl -I 'http://your-code-marketplace-url/extensions/malicious.vsix' # Check for unusual response headers or file accessdisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
La mitigación principal para CVE-2026-35454 es actualizar a la versión 1.2.3-0.20260402184705-988440dee05f de github.com/coder/code-marketplace. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior conocida como segura, aunque esto podría introducir otras vulnerabilidades. Como medida complementaria, implemente reglas en un proxy o WAF para bloquear el procesamiento de archivos VSIX de fuentes no confiables. Revise los permisos del usuario que ejecuta code-marketplace para limitar el daño potencial en caso de una explotación exitosa. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los nombres de archivo ZIP no pueden ser utilizados para escribir fuera del directorio de extensiones esperado.
Actualice a la versión 2.4.2 o superior para mitigar la vulnerabilidad de deslizamiento de ruta Zip. Esta actualización corrige el problema al verificar los límites de los archivos extraídos de los archivos VSIX, evitando la escritura de archivos fuera del directorio de la extensión.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35454 is a Path Traversal vulnerability in github.com/coder/code-marketplace versions up to v2.4.1, allowing attackers to write arbitrary files via malicious VSIX files.
You are affected if you are using github.com/coder/code-marketplace version 2.4.1 or earlier.
Upgrade to version 1.2.3-0.20260402184705-988440dee05f or later. Consider temporary workarounds like input validation if immediate upgrade is not possible.
There are currently no known active campaigns exploiting CVE-2026-35454, but the vulnerability's severity warrants prompt remediation.
Refer to the official github.com/coder/code-marketplace repository and related security advisories for the most up-to-date information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.