概要
Visual Studio Code における不適切な入力検証により、未認証の攻撃者がネットワーク越しに権限昇格を行える脆弱性です。Microsoft セキュリティ更新ガイド(MSRC)で公開されており、CVSS スコアは 9.6 と Critical 評価です。
CWE-306(クリティカルな機能の認証欠如)、CWE-798(ハードコードされた認証情報)、CWE-862(認可欠如)の複数 CWE が割り当てられており、認証・認可に関連した複合的な問題が含まれています。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Changed | 影響範囲が変化する |
| Confidentiality | High | 機密情報漏洩のリスク |
| Integrity | High | データ改ざんのリスク |
| Availability | None | 可用性への影響なし |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| Visual Studio Code | 特定バージョン(MSRC 参照) | 最新バージョン |
修正バージョンと回避策
修正バージョン: Visual Studio Code を最新バージョンへアップデートしてください。Microsoft は自動更新機能を提供しています。
回避策: VS Code の自動更新が有効になっていることを確認し、最新バージョンへの更新を適用してください。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。