Microsoft Visual Studio Code ESLint拡張機能のセキュリティ更新プログラム(2020年7月)
high Nessus プラグイン ID 138523
Language:
概要
セキュリティ更新プログラムが不足するアプリケーションがリモートホストにインストールされています。説明
Visual Studio Code Live Share拡張機能に、プロジェクトを開くときのソースコード検証の処理に関連する、リモートでコードが実行される可能性がある入力検証の欠陥があります。攻撃者がユーザーを誘導して指定されたリポジトリを複製し、Visual Studio Codeで開かせることで、コードを実行する可能性があります。更新プログラムでは、Visual Studio Code ESLintが環境変数を処理する方法を変更することにより、この脆弱性に対応します。
ソリューション
パッチ情報については、Microsoftのセキュリティアドバイザリを参照してください。参考資料
プラグインの詳細
深刻度: High
ID: 138523
ファイル名: microsoft_visual_studio_code_ms20_july.nasl
バージョン: 1.4
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2020/7/16
更新日: 2022/4/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-1481
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:microsoft:visual_studio_code
必要な KB アイテム: installed_sw/Microsoft Visual Studio Code
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/7/14
脆弱性公開日: 2020/7/14
参照情報
CVE: CVE-2020-1481