HIGHCVE-2026-22685CVSS 8.8

DevToys 路径遍历 (“Zip Slip”) 漏洞存在于 DevToys 扩展安装中

Q: 什么是 CVE-2026-22685 — 路径遍历漏洞在 DevToys 中？

CVE-2026-22685 是 DevToys 应用程序 2.0.0.0 到 2.0.9.0 版本中发现的一个路径遍历漏洞，允许攻击者通过恶意扩展包覆盖系统文件。

Q: 我是否受到 CVE-2026-22685 在 DevToys 中影响？

如果您正在使用 DevToys 2.0.0.0 到 2.0.9.0 之间的版本，则可能受到此漏洞的影响。请立即升级至最新版本。

Q: 我如何修复 CVE-2026-22685 在 DevToys 中？

将 DevToys 升级至 2.0.9.0 或更高版本以修复此漏洞。

Q: 在哪里可以找到 DevToys 官方关于 CVE-2026-22685 的公告？

请查阅 DevToys 官方网站或 GitHub 仓库以获取有关此漏洞的官方公告和安全建议。

平台

other

组件

devtoys

修复版本

2.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-22685 描述了 DevToys 应用程序中存在的路径遍历漏洞。该漏洞允许攻击者通过恶意扩展包覆盖用户系统上的任意文件，从而可能导致权限提升或系统损坏。该漏洞影响 DevToys 2.0.0.0 到 2.0.9.0 之间的版本。已发布安全补丁，建议用户尽快升级。

影响与攻击场景

攻击者可以利用此路径遍历漏洞，通过构造恶意的 DevToys 扩展包（NUPKG 格式）来覆盖用户系统上的任意文件。由于 DevToys 具有用户权限运行，攻击者可以利用此漏洞修改系统配置文件、替换可执行文件，甚至可能执行恶意代码。这种攻击方式的潜在影响包括数据泄露、系统控制权被劫持以及恶意软件感染。如果攻击者能够覆盖关键系统文件，可能会导致系统崩溃或完全不可用。该漏洞的危害性在于其易于利用，且攻击者无需用户交互即可执行攻击。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现，但根据漏洞描述，攻击者可以相对容易地构造恶意扩展包。

哪些人处于风险中翻译中…

Developers who utilize DevToys, particularly those who routinely install extensions from various sources, are at heightened risk. Users who have not implemented robust security practices, such as disabling extension installation from untrusted sources, are also more vulnerable. Shared development environments or systems where multiple developers share the same DevToys installation could amplify the impact of a successful exploitation.

检测步骤翻译中…

• windows / supply-chain: Monitor for unusual file creation activity within the DevToys installation directory (e.g., using Process Monitor). Check Autoruns for suspicious entries related to DevToys extensions.

Get-ChildItem -Path "C:\Program Files\DevToys\Extensions" -Recurse -Force | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Sort-Object LastWriteTime

• generic web: While not directly applicable to DevToys, monitor network traffic for attempts to access or download DevToys extension packages from untrusted sources.

攻击时间线

2026-01-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.05% (14% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件devtoys

供应商DevToys-app

影响范围修复版本

>= 2.0.0.0, < 2.0.9.0 – >= 2.0.0.0, < 2.0.9.02.0.1

弱点分类 (CWE)

CWE-22

时间线

已保留2026-01-08
发布日期2026-01-10
修改日期2026-01-12
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 DevToys 升级至 2.0.9.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制 DevToys 的权限，使其只能访问必要的目录；监控 DevToys 的安装和更新活动，及时发现可疑行为；使用安全软件扫描 DevToys 扩展包，检测潜在的恶意代码。升级后，请验证 DevToys 的安装目录是否受到保护，并确认扩展包的来源可靠。

修复方法翻译中…

Actualice DevToys a la versión 2.0.9.0 o posterior. Descargue la última versión desde la página oficial o a través del mecanismo de actualización dentro de la aplicación. Esto corrige la vulnerabilidad de path traversal al instalar extensiones.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-22685 — 路径遍历漏洞在 DevToys 中？