कोड एक्सटेंशन मार्केटप्लेस: ज़िप स्लिप पाथ ट्रावर्सल

यह भेद्यता हमलावरों को ExtractZip फ़ंक्शन के माध्यम से मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, क्योंकि यह ज़िप एंट्री नामों को बिना किसी सीमा जांच के filepath.Join को पास करता है। एक दुर्भावनापूर्ण VSIX फ़ाइल का उपयोग करके, एक हमलावर सिस्टम पर मनमाने स्थानों पर फ़ाइलें लिख सकता है, संभावित रूप से महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट कर सकता है या दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। यह भेद्यता सिस्टम की अखंडता और उपलब्धता को खतरे में डाल सकती है। इस भेद्यता का शोषण करने से डेटा चोरी, सिस्टम समझौता और अन्य गंभीर परिणाम हो सकते हैं।

Organizations utilizing github.com/coder/code-marketplace in their development environments, particularly those relying on VSIX file extensions for code or tool integration, are at risk. Environments with legacy configurations or those lacking robust input validation practices are especially vulnerable.

• linux / server:

find /opt/code-marketplace -name '*.zip' -exec grep -l '..\..' {} + | xargs ls -l

• generic web:

curl -I 'http://your-code-marketplace-url/extensions/malicious.vsix' # Check for unusual response headers or file access

1. 2026-04-04Disclosure

   disclosure

1. आरक्षित2026-04-02
2. प्रकाशित2026-04-04
3. संशोधित2026-04-07
4. EPSS अद्यतन2026-04-14

CVE-2026-35454 के लिए प्राथमिक शमन उपाय github.com/coder/code-marketplace को संस्करण 1.2.3-0.20260402184705-988440dee05f में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो ज़िप फ़ाइलों से आने वाले अनुरोधों को फ़िल्टर करता है और संभावित रूप से दुर्भावनापूर्ण फ़ाइल नामों को ब्लॉक करता है। इसके अतिरिक्त, आप ExtractZip फ़ंक्शन में इनपुट सत्यापन जोड़ सकते हैं ताकि यह सुनिश्चित किया जा सके कि ज़िप एंट्री नाम सुरक्षित हैं और सिस्टम फ़ाइलों को ओवरराइट नहीं कर सकते हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, ज़िप फ़ाइलें अपलोड करके और यह सुनिश्चित करके कि फ़ाइलें अपेक्षित स्थान पर लिखी गई हैं।