Plataforma
go
Componente
github.com/coder/code-marketplace
Corrigido em
2.4.3
1.2.3-0.20260402184705-988440dee05f
A vulnerabilidade CVE-2026-35454 é um problema de Path Traversal identificado em github.com/coder/code-marketplace versões até v2.4.1. Essa falha permite que um atacante malicioso, através de um arquivo VSIX especialmente criado, escreva arquivos em locais arbitrários fora do diretório de extensão esperado. A vulnerabilidade foi publicada em 04 de abril de 2026 e a versão corrigida é 1.2.3-0.20260402184705-988440dee05f.
Um atacante pode explorar essa vulnerabilidade para injetar arquivos maliciosos no sistema, potencialmente comprometendo a integridade e a confidencialidade dos dados. Ao manipular o nome de entrada do arquivo ZIP, o atacante pode contornar as verificações de segurança e escrever arquivos em locais inesperados, como diretórios de sistema ou arquivos de configuração. Isso pode levar à execução remota de código, roubo de informações sensíveis ou negação de serviço. A exploração bem-sucedida pode resultar em um comprometimento significativo do sistema afetado, permitindo que o atacante obtenha controle total sobre o ambiente.
A vulnerabilidade foi divulgada publicamente em 04 de abril de 2026. A probabilidade de exploração é considerada média, dada a natureza relativamente simples da vulnerabilidade de Path Traversal e a disponibilidade potencial de ferramentas para automatizar a exploração. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. É recomendável monitorar as fontes de inteligência de ameaças para atualizações sobre a exploração desta vulnerabilidade.
Organizations utilizing github.com/coder/code-marketplace in their development environments, particularly those relying on VSIX file extensions for code or tool integration, are at risk. Environments with legacy configurations or those lacking robust input validation practices are especially vulnerable.
• linux / server:
find /opt/code-marketplace -name '*.zip' -exec grep -l '..\..' {} + | xargs ls -l• generic web:
curl -I 'http://your-code-marketplace-url/extensions/malicious.vsix' # Check for unusual response headers or file accessdisclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
A mitigação primária para CVE-2026-35454 é atualizar para a versão corrigida de code-marketplace, 1.2.3-0.20260402184705-988440dee05f. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao endpoint responsável pela extração de arquivos ZIP. Implementar uma camada de WAF (Web Application Firewall) com regras para bloquear solicitações com nomes de arquivos ZIP suspeitos, contendo sequências como .. ou caminhos relativos, pode ajudar a mitigar o risco. Monitore os logs do sistema em busca de tentativas de escrita de arquivos em locais inesperados.
Actualice a la versión 2.4.2 o superior para mitigar la vulnerabilidad de deslizamiento de ruta Zip. Esta actualización corrige el problema al verificar los límites de los archivos extraídos de los archivos VSIX, evitando la escritura de archivos fuera del directorio de la extensión.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35454 is a Path Traversal vulnerability in github.com/coder/code-marketplace versions up to v2.4.1, allowing attackers to write arbitrary files via malicious VSIX files.
You are affected if you are using github.com/coder/code-marketplace version 2.4.1 or earlier.
Upgrade to version 1.2.3-0.20260402184705-988440dee05f or later. Consider temporary workarounds like input validation if immediate upgrade is not possible.
There are currently no known active campaigns exploiting CVE-2026-35454, but the vulnerability's severity warrants prompt remediation.
Refer to the official github.com/coder/code-marketplace repository and related security advisories for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.