プラットフォーム
java
コンポーネント
org.eclipse.lemminx:lemminx-parent
修正版
0.19.1
0.19.0
CVE-2022-0671は、vscode-xmlのバージョン0.19.0より前のバージョンに存在する脆弱性です。スキーマのダウンロード処理に不備があり、攻撃者は大規模なファイルを送信することで、ブラインドSSRF(サーバー側リクエスト偽装)またはDoS(サービス拒否)攻撃を実行できる可能性があります。この脆弱性は、機密情報の漏洩やシステムの可用性低下につながる可能性があります。影響を受けるバージョンは0.19.0より前のすべてのバージョンであり、0.19.0へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者は内部ネットワーク上の機密情報にアクセスしたり、外部への不正なリクエストを送信したりする可能性があります。SSRF攻撃は、ファイアウォールを迂回し、通常アクセスできない内部サービスにアクセスするために利用されることがあります。DoS攻撃は、システムリソースを枯渇させ、正当なユーザーがサービスを利用できなくなる可能性があります。特に、vscode-xmlを拡張機能として利用している環境では、攻撃の影響が広範囲に及ぶ可能性があります。攻撃者は、スキーマのダウンロード処理を悪用し、内部ネットワークの探索や、機密データの窃取を試みる可能性があります。
この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、CVEデータベースに登録されており、CISA KEVカタログへの追加も検討されています。PoC(Proof of Concept)コードの公開状況は不明ですが、SSRF/DoS攻撃は比較的容易に実行可能なため、早急な対応が必要です。攻撃者は、vscode-xmlを利用しているシステムを標的とし、内部ネットワークへの侵入や機密情報の窃取を試みる可能性があります。
Developers and organizations using the vscode-xml extension in Visual Studio Code are at risk. This includes teams working with XML-based projects, particularly those who rely on schema validation or automatic schema downloads. Shared hosting environments where multiple users share a single VS Code instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to impact other users.
• windows / supply-chain: Monitor VS Code processes (code.exe) for unusual network connections using Get-Process | Where-Object {$_.ProcessName -eq 'code'}. Check for suspicious entries in the VS Code extension directory (typically %USERPROFILE%/.vscode/extensions) for modified or unexpected files.
Get-Process | Where-Object {$_.ProcessName -eq 'code'} | Select-Object Name, Id, CPU, WorkingSet• linux / server: Monitor VS Code processes (code) using ps aux | grep code. Examine system logs (e.g., /var/log/syslog) for errors related to schema downloads or network connections originating from the VS Code process.
ps aux | grep code• generic web: Monitor VS Code instances for outbound HTTP requests to unusual or unexpected domains. Examine VS Code's network traffic using tools like Wireshark or tcpdump for suspicious patterns.
disclosure
patch
エクスプロイト状況
EPSS
0.38% (60% パーセンタイル)
CVSS ベクトル
この脆弱性への対応として、vscode-xmlをバージョン0.19.0にアップデートすることを推奨します。アップデートが困難な場合は、vscode-xmlの設定で、許可するスキーマのダウンロード元を制限するなどの対策を講じる必要があります。また、WAF(Web Application Firewall)やプロキシサーバーを導入し、不正なリクエストを検知・遮断するルールを設定することも有効です。ネットワーク監視を強化し、異常なトラフィックを早期に検知することも重要です。アップデート後、vscode-xmlの動作を確認し、問題がないことを確認してください。
vscode-xmlプラグインをバージョン0.19.0以降にアップデートしてください。このアップデートはSSRFおよびDoSの脆弱性を修正します。Visual Studio Codeのマーケットプレイスからプラグインをアップデートできます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2022-0671は、vscode-xmlのバージョン0.19.0より前のバージョンに存在する、スキーマダウンロード処理におけるSSRFまたはDoS攻撃を可能にする脆弱性です。
vscode-xmlのバージョン0.19.0より前のバージョンを使用している場合は、影響を受けます。
vscode-xmlをバージョン0.19.0にアップデートしてください。
この脆弱性は公開されており、悪用が懸念されています。
公式アドバイザリは、vscode-xmlのGitHubリポジトリで確認できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。