Plataforma
other
Componente
devtoys
Corrigido em
2.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no DevToys, uma aplicação desktop para desenvolvedores. Afeta versões entre 2.0.0.0 (inclusive) e 2.0.9.0 (exclusivo). Um atacante pode explorar essa falha para sobrescrever arquivos no sistema do usuário, comprometendo a integridade do sistema. A correção foi lançada na versão 2.0.9.0.
A vulnerabilidade de Path Traversal no DevToys permite que um atacante execute código arbitrário ou comprometa a integridade do sistema. Ao criar uma extensão maliciosa (arquivo NUPKG), o atacante pode manipular os caminhos dos arquivos dentro do pacote para escrever dados fora do diretório de extensões pretendido. Isso pode levar à sobrescrita de arquivos de sistema críticos, permitindo a instalação de malware, a modificação de configurações ou até mesmo a execução remota de código com os privilégios do usuário DevToys. A gravidade da vulnerabilidade reside na capacidade de um atacante de obter controle sobre o sistema do usuário sem a necessidade de autenticação, tornando-a um risco significativo para desenvolvedores e suas máquinas de trabalho.
A vulnerabilidade foi divulgada em 2026-01-10. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração pode ser relativamente simples para um atacante com conhecimento técnico.
Developers who utilize DevToys, particularly those who routinely install extensions from various sources, are at heightened risk. Users who have not implemented robust security practices, such as disabling extension installation from untrusted sources, are also more vulnerable. Shared development environments or systems where multiple developers share the same DevToys installation could amplify the impact of a successful exploitation.
• windows / supply-chain: Monitor for unusual file creation activity within the DevToys installation directory (e.g., using Process Monitor). Check Autoruns for suspicious entries related to DevToys extensions.
Get-ChildItem -Path "C:\Program Files\DevToys\Extensions" -Recurse -Force | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Sort-Object LastWriteTime• generic web: While not directly applicable to DevToys, monitor network traffic for attempts to access or download DevToys extension packages from untrusted sources.
disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-22685 é atualizar o DevToys para a versão 2.0.9.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar a instalação de extensões de fontes não confiáveis. Implementar uma política de segurança que restrinja a execução de extensões de origem desconhecida pode reduzir o risco. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à instalação ou execução de extensões. Após a atualização, verifique a integridade dos arquivos do sistema para garantir que não foram modificados.
Actualice DevToys a la versión 2.0.9.0 o posterior. Descargue la última versión desde la página oficial o a través del mecanismo de actualización dentro de la aplicación. Esto corrige la vulnerabilidad de path traversal al instalar extensiones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22685 is a Path Traversal vulnerability affecting DevToys versions 2.0.0.0 through 2.0.8.0, allowing attackers to overwrite files by crafting malicious extension packages.
You are affected if you are using DevToys versions 2.0.0.0 to 2.0.8.0. Upgrade to 2.0.9.0 or later to mitigate the risk.
Upgrade DevToys to version 2.0.9.0 or later. If immediate upgrade is not possible, isolate DevToys and disable extension installation from untrusted sources.
There is currently no evidence of CVE-2026-22685 being actively exploited.
Refer to the official DevToys release notes and security advisories on the developer's website for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.