HIGHCVE-2026-35454CVSS 7.5

Code Extension Marketplace: Zip Slip Path Traversal

Q: CVE-2026-35454 in code-marketplaceに影響を受けますか？

code-marketplaceのバージョンがv2.4.1以前の場合、この脆弱性に影響を受ける可能性があります。

Q: CVE-2026-35454 in code-marketplaceを修正するにはどうすればよいですか？

code-marketplaceをバージョン1.2.3-0.20260402184705-988440dee05f以上にアップデートすることを推奨します。

Q: CVE-2026-35454のcode-marketplace公式アドバイザリはどこで入手できますか？

github.com/coder/code-marketplaceのリリースノートまたはセキュリティアドバイザリを参照してください。

プラットフォーム

コンポーネント

github.com/coder/code-marketplace

修正版

2.4.3

1.2.3-0.20260402184705-988440dee05f

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-35454は、github.com/coder/code-marketplaceのPath Traversal脆弱性です。この脆弱性は、悪意のあるVSIXファイルが拡張ディレクトリ外に任意のファイルを書き込めることを可能にし、潜在的に機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンはv2.4.1以前ですが、バージョン1.2.3-0.20260402184705-988440dee05fで修正されています。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者がVSIXファイルを通じて、code-marketplaceの拡張ディレクトリ外に任意のファイルを書き込めることを意味します。攻撃者は、この脆弱性を悪用して、重要な設定ファイルを上書きしたり、悪意のあるコードを実行したり、機密情報を盗み出す可能性があります。特に、code-marketplaceが信頼できないソースからのVSIXファイルを処理する場合、この脆弱性のリスクは高まります。この脆弱性は、ZIP Slip（CWE-22）として知られる一般的な脆弱性のパターンに従っており、同様の脆弱性に対する対策が有効である可能性があります。

悪用の状況

この脆弱性は、2026年4月4日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。この脆弱性は、code-marketplaceのセキュリティに影響を与える可能性があり、迅速な対応が必要です。

リスク対象者翻訳中…

Organizations utilizing github.com/coder/code-marketplace in their development environments, particularly those relying on VSIX file extensions for code or tool integration, are at risk. Environments with legacy configurations or those lacking robust input validation practices are especially vulnerable.

検出手順翻訳中…

• linux / server:

find /opt/code-marketplace -name '*.zip' -exec grep -l '..\..' {} + | xargs ls -l

• generic web:

curl -I 'http://your-code-marketplace-url/extensions/malicious.vsix' # Check for unusual response headers or file access

攻撃タイムライン

2026-04-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.08% (24% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/coder/code-marketplace

ベンダーosv

影響範囲修正版

< 2.4.2 – < 2.4.22.4.3

—1.2.3-0.20260402184705-988440dee05f

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-02
公開日2026-04-04
更新日2026-04-07
EPSS 更新日2026-04-14

緩和策と回避策

この脆弱性への対応策として、まず、code-marketplaceをバージョン1.2.3-0.20260402184705-988440dee05f以上にアップデートすることを推奨します。アップデートが利用できない場合、信頼できないソースからのVSIXファイルの処理を一時的に停止するか、ファイルの内容を厳密に検証するカスタムの入力検証ルールを実装することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるVSIXファイルのアップロードをブロックすることも有効です。ファイルシステムのアクセス制御を強化し、code-marketplaceがアクセスできるディレクトリを最小限に抑えることも重要です。

修正方法翻訳中…

Actualice a la versión 2.4.2 o superior para mitigar la vulnerabilidad de deslizamiento de ruta Zip. Esta actualización corrige el problema al verificar los límites de los archivos extraídos de los archivos VSIX, evitando la escritura de archivos fuera del directorio de la extensión.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35454 — Path Traversal in code-marketplaceとは何ですか？

CVE-2026-35454は、github.com/coder/code-marketplaceのPath Traversal脆弱性であり、悪意のあるVSIXファイルが拡張ディレクトリ外に任意のファイルを書き込める可能性があります。

CVE-2026-35454 in code-marketplaceに影響を受けますか？