Platform
go
Component
github.com/coder/code-marketplace
Opgelost in
2.4.3
1.2.3-0.20260402184705-988440dee05f
CVE-2026-35454 beschrijft een Path Traversal kwetsbaarheid in de coder/code-marketplace component, versie 2.4.1 en eerder. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden buiten de beoogde extensiedirectory te schrijven, wat kan leiden tot ongeautoriseerde toegang of manipulatie van systeembestanden. De kwetsbaarheid is publiekelijk bekend sinds 4 april 2026 en is verholpen in versie 1.2.3-0.20260402184705-988440dee05f.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller kan een kwaadaardig VSIX-bestand uploaden dat, door de onvoldoende validatie van bestandsnamen tijdens het uitpakken, bestanden kan schrijven op locaties buiten de toegestane extensiedirectory. Dit kan leiden tot het overschrijven van kritieke systeembestanden, het installeren van malware, of het verkrijgen van ongeautoriseerde toegang tot gevoelige gegevens. De impact kan variëren afhankelijk van de configuratie van het systeem en de privileges van de gebruiker die het VSIX-bestand uitvoert. Het is vergelijkbaar met bekende Zip Slip kwetsbaarheden waarbij de bestandsnaam niet correct wordt gevalideerd voor het uitpakken van een ZIP-archief.
CVE-2026-35454 is publiekelijk bekend sinds 4 april 2026. Er zijn momenteel geen openbare Proof-of-Concept (POC) exploits beschikbaar, maar de kwetsbaarheid is van het type Zip Slip, wat historisch gezien een aantrekkelijk doelwit is voor aanvallers. De KEV (Cybersecurity and Infrastructure Security Agency Known Exploited Vulnerabilities) status is momenteel onbekend. De CVSS score van 7.5 (HIGH) duidt op een significant risico.
Organizations utilizing github.com/coder/code-marketplace in their development environments, particularly those relying on VSIX file extensions for code or tool integration, are at risk. Environments with legacy configurations or those lacking robust input validation practices are especially vulnerable.
• linux / server:
find /opt/code-marketplace -name '*.zip' -exec grep -l '..\..' {} + | xargs ls -l• generic web:
curl -I 'http://your-code-marketplace-url/extensions/malicious.vsix' # Check for unusual response headers or file accessdisclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-35454 is het upgraden van coder/code-marketplace naar versie 1.2.3-0.20260402184705-988440dee05f of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de bestandsnamen die door VSIX-bestanden worden gebruikt, of het implementeren van een WAF (Web Application Firewall) die pogingen tot het schrijven van bestanden buiten de toegestane directory blokkeert. Controleer ook de configuratie van de code-marketplace omgeving om te zorgen voor minimale privileges voor gebruikers die VSIX-bestanden kunnen uploaden. Na de upgrade, verifieer de fix door een test VSIX-bestand te uploaden dat probeert bestanden buiten de extensiedirectory te schrijven en controleer of de poging wordt geblokkeerd.
Actualice a la versión 2.4.2 o superior para mitigar la vulnerabilidad de deslizamiento de ruta Zip. Esta actualización corrige el problema al verificar los límites de los archivos extraídos de los archivos VSIX, evitando la escritura de archivos fuera del directorio de la extensión.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35454 is a Path Traversal vulnerability in github.com/coder/code-marketplace versions up to v2.4.1, allowing attackers to write arbitrary files via malicious VSIX files.
You are affected if you are using github.com/coder/code-marketplace version 2.4.1 or earlier.
Upgrade to version 1.2.3-0.20260402184705-988440dee05f or later. Consider temporary workarounds like input validation if immediate upgrade is not possible.
There are currently no known active campaigns exploiting CVE-2026-35454, but the vulnerability's severity warrants prompt remediation.
Refer to the official github.com/coder/code-marketplace repository and related security advisories for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.