Vulnérabilité de traversée de chemin (”Zip Slip”) dans l'installation d'extensions DevToys

Cette vulnérabilité de traversal de chemin permet à un attaquant d'exploiter le processus d'installation des extensions DevToys pour écrire des fichiers en dehors du répertoire d'extensions prévu. En incluant des entrées de fichiers malveillantes, telles que ../../…/target-file, dans un paquet d'extension (NUPKG), un attaquant peut potentiellement écraser des fichiers critiques sur le système de l'utilisateur. L'impact est amplifié par le fait que l'écriture se fait avec les privilèges de l'utilisateur DevToys, ce qui pourrait permettre de compromettre des données sensibles ou d'exécuter du code malveillant. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité la rend potentiellement exploitable par des acteurs malveillants disposant d'un accès au système ou capables de distribuer des extensions malveillantes.

Developers who utilize DevToys, particularly those who routinely install extensions from various sources, are at heightened risk. Users who have not implemented robust security practices, such as disabling extension installation from untrusted sources, are also more vulnerable. Shared development environments or systems where multiple developers share the same DevToys installation could amplify the impact of a successful exploitation.

• windows / supply-chain: Monitor for unusual file creation activity within the DevToys installation directory (e.g., using Process Monitor). Check Autoruns for suspicious entries related to DevToys extensions.

Get-ChildItem -Path "C:\Program Files\DevToys\Extensions" -Recurse -Force | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Sort-Object LastWriteTime

• generic web: While not directly applicable to DevToys, monitor network traffic for attempts to access or download DevToys extension packages from untrusted sources.

1. 2026-01-10Disclosure

   disclosure

1. Réservé2026-01-08
2. Publiée2026-01-10
3. Modifiée2026-01-12
4. EPSS mis à jour2026-03-23

La mitigation principale consiste à mettre à jour DevToys vers la version 2.0.9.0, qui corrige cette vulnérabilité. En attendant la mise à jour, il n'existe pas de correctif immédiat. Il est recommandé de désactiver temporairement l'installation de nouvelles extensions DevToys jusqu'à ce que la mise à jour soit appliquée. Surveillez attentivement les journaux système pour détecter toute activité suspecte liée à l'installation ou à l'exécution d'extensions. Si possible, limitez les privilèges de l'utilisateur DevToys pour réduire l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez l'intégrité des fichiers système pour détecter toute modification non autorisée.