V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2025-6705
CVE
Высокий

Уязвимость в автоматизированной издательской системе Eclipse Open VSX Registry могла позволить несанкционированную загрузку расширений. В ч…

CVSS
7.6
Высокий
EPSS
0.00
p12
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Уязвимость в автоматизированной издательской системе Eclipse Open VSX Registry могла позволить несанкционированную загрузку расширений. В частности, сценарии построения системы были выполнены без надлежащей изоляции, что потенциально разоблачает привилегированный токен. Этот токен позволял публиковать новые версии расширений под любым пространством имен, включая те, которые не контролируются злоумышленником. Однако он не допускает изъятия существующих расширений, перезаписи опубликованных версий или доступа к административным признакам реестра. Вопрос был одухо-данным 4 мая 2025 года, полностью решен к 24 июня, а затем провести всесторонний аудит. Никаких доказательств компромисса обнаружено не было, хотя 81 продление было упреждающе деактивировано в качестве меры предосторожности. Стандартный издательский процесс остался неизменным. Были вынесены рекомендации по снижению аналогичных рисков в будущем.

Теги · CWE
CWE-653
Затронутые продукты
Open_vsx
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.002 · p12
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Eclipse
Open Vsx
ПродуктВендорСтатус
open_vsx*Отслеживается
Источники данных
CVE
Связанные уязвимости
BDU:2026-00209