プラットフォーム
other
コンポーネント
devtoys
修正版
2.0.1
DevToysは開発者向けのデスクトップアプリケーションです。バージョン2.0.0.0から2.0.8.0までの範囲で、拡張機能のインストールメカニズムにパス・トラバーサル脆弱性が存在します。悪意のある拡張機能パッケージは、ファイルパスを操作し、意図しない場所にファイルを書き込む可能性があります。この脆弱性は、攻撃者がDevToysの権限でシステム上の任意のファイルを上書きすることを可能にします。バージョン2.0.9.0で修正されています。
このパス・トラバーサル脆弱性を悪用すると、攻撃者はDevToysアプリケーションの実行権限を利用して、システム上の任意の場所にファイルを書き込むことができます。これにより、重要な設定ファイルの改ざん、マルウェアのインストール、またはシステムの完全な制御の奪取といった深刻な被害が発生する可能性があります。特に、DevToysが管理者権限で実行されている場合、影響はより広範囲に及びます。この脆弱性は、拡張機能のインストールプロセスにおけるファイルパスの検証が不十分であることに起因しており、攻撃者は../..のようなパスを挿入することで、意図されたディレクトリ外にファイルを書き込むことができます。
この脆弱性は2026年1月10日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。
Developers who utilize DevToys, particularly those who routinely install extensions from various sources, are at heightened risk. Users who have not implemented robust security practices, such as disabling extension installation from untrusted sources, are also more vulnerable. Shared development environments or systems where multiple developers share the same DevToys installation could amplify the impact of a successful exploitation.
• windows / supply-chain: Monitor for unusual file creation activity within the DevToys installation directory (e.g., using Process Monitor). Check Autoruns for suspicious entries related to DevToys extensions.
Get-ChildItem -Path "C:\Program Files\DevToys\Extensions" -Recurse -Force | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Sort-Object LastWriteTime• generic web: While not directly applicable to DevToys, monitor network traffic for attempts to access or download DevToys extension packages from untrusted sources.
disclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
DevToysのバージョンを2.0.9.0以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、拡張機能のインストールを一時的に無効にするか、信頼できるソースからの拡張機能のみをインストールするように制限してください。ファイアウォールやプロキシサーバーを使用して、DevToysへの不正なアクセスをブロックすることも有効です。また、DevToysの実行ユーザーの権限を最小限に抑えることで、脆弱性が悪用された場合の被害を軽減できます。アップデート後、DevToysを再起動し、正常に動作することを確認してください。
Actualice DevToys a la versión 2.0.9.0 o posterior. Descargue la última versión desde la página oficial o a través del mecanismo de actualización dentro de la aplicación. Esto corrige la vulnerabilidad de path traversal al instalar extensiones.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22685は、DevToysのバージョン2.0.0.0から2.0.8.0までの拡張機能インストール処理におけるパス・トラバーサル脆弱性です。これにより、攻撃者は任意のファイルを上書きできる可能性があります。
DevToysのバージョンが2.0.0.0から2.0.8.0の間であれば、この脆弱性の影響を受ける可能性があります。バージョン2.0.9.0以降にアップデートしてください。
DevToysをバージョン2.0.9.0以降にアップデートしてください。アップデートが困難な場合は、拡張機能のインストールを一時的に無効にするか、信頼できるソースからの拡張機能のみをインストールするように制限してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、悪用される可能性はあります。最新のセキュリティ情報を常に確認してください。
DevToysの公式アドバイザリは、開発元のウェブサイトで確認できます。詳細については、関連するセキュリティ情報を参照してください。