Open Vsx
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
7.6
Макс. EPSS
0.00473
Распределение по критичности
Критический
0
Высокий
1
Средний
1
Низкий
0
Затронутые диапазоны версий
0.9.0–0.19.1
Также сопоставлено как (исходные строки): open_vsx
Топ уязвимостей
CVE-2025-6705Уязвимость в автоматизированной издательской системе Eclipse Open VSX Registry могла позволить несанкционированную загрузку расширений. В частности, сценарии построения системы были выполнены без надлежащей изоляции, что потенциально разоблачает привилегированный токен. Этот токен позволял публиковать новые версии расширений под любым пространством имен, включая те, которые не контролируются злоумышленником. Однако он не допускает изъятия существующих расширений, перезаписи опубликованных версий или доступа к административным признакам реестра.
Вопрос был одухо-данным 4 мая 2025 года, полностью решен к 24 июня, а затем провести всесторонний аудит. Никаких доказательств компромисса обнаружено не было, хотя 81 продление было упреждающе деактивировано в качестве меры предосторожности. Стандартный издательский процесс остался неизменным. Были вынесены рекомендации по снижению аналогичных рисков в будущем.
CVE-2025-1007В OpenVSX версии от v0.9.0 до v0.20.0 API
/user/namespace/{namespace}/details позволяет пользователю редактировать все
подробности пространства имен, даже если пользователь не является владельцем или
участником пространства имен. Подробности включают: имя, описание, веб-сайт, ссылку на поддержку
и ссылки на социальные медиа. Те же проблемы существовали в
/user/namespace/{namespace}/details/logo и позволяли пользователю изменить
логотип.