Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04286

Опубликовано: 08 сент. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 9.3
EPSS Средний

Описание

Уязвимость компонента JSON Handler редактора исходного кода Visual Studio Code средства разработки программного обеспечения Microsoft Visual Studio связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в контексте текущего пользователя

Вендор

Microsoft Corp

Наименование ПО

Visual Studio Code

Версия ПО

до 1.48.1 (Visual Studio Code)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16881

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.16964
Средний

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-16881

CVSS3: 7.8
nvd
больше 5 лет назад

<p>A remote code execution vulnerability exists in Visual Studio Code when a user is tricked into opening a malicious 'package.json' file. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.</p> <p>To exploit this vulnerability, an attacker would need to convince a target to clone a repository and open it in Visual Studio Code. Attacker-specified code would execute when the target opens the malicious 'package.json' file.</p> <p>The update address the vulnerability by modifying the way Visual Studio Code handles JSON files.</p>

msrc логотип

CVE-2020-16881

CVSS3: 7.8
msrc
больше 5 лет назад

Visual Studio JSON Remote Code Execution Vulnerability

github логотип

GHSA-jq68-qcp2-fcqh

CVSS3: 7.8
github
больше 3 лет назад

A remote code execution vulnerability exists in Visual Studio Code when a user is tricked into opening a malicious 'package.json' file, aka 'Visual Studio JSON Remote Code Execution Vulnerability'.

EPSS

Процентиль: 95%
0.16964
Средний

8.8 High

CVSS3

9.3 Critical

CVSS2