安全研究人员披露了 Visual Studio Code 远程代码执行漏洞（CVE-2023-36742，CVSS 评分为 7.8）和公共概念验证 (PoC) 漏洞的技术细节。

该缺陷存在于 VS Code 版本 1.82.0 及更早版本中。该漏洞在恶意制作的package.json文件中出现，导致命令在本地执行。当攻击者诱使 VS Code 用户打开恶意项目并与package.json文件的依赖项部分中格式错误的条目进行交互时，利用场景就会展开。

VS Code 利用本地安装的 npm 命令来获取有关包依赖项的信息。在此漏洞中，可以操纵包依赖项，从而使 npm 工具无意中运行脚本。

为了应对这一令人担忧的问题，从 VS Code 1.82.1 开始可以采取补救措施。该修复程序（标识为e7b3397）通过在不受信任的工作区中禁用 npm 并在执行 npm 命令时实施额外的输入验证来应对此攻击。该修复还建议不要使用来自不受信任来源的package.json文件中的依赖项部分。

来自 SonarSource 的两位安全研究人员 Thomas Chauchefoin 和 Paul Gerste 披露了 CVE-2023-36742 和公共概念验证 (PoC) 漏洞的技术细节。此 PoC 演示了攻击者如何利用该漏洞在易受攻击的系统上执行任意代码。

“最令人着迷的方面是利用 NPM 的选项来更改其全局配置，–globalconfig， ”研究人员在他们的技术文章中阐明。他们描述了一种场景，其中加载了名为description的本地文件（恶意项目的一部分）中的任意配置：npm view –json –globalconfig description dist-tags.latest homepage version time。此方法虽然没有反映最新 NPM 版本或其他平台的限制，但展示了利用此类漏洞在不受信任的工作空间中执行任意命令的潜力。

为了强调此漏洞的严重性和实用性，研究人员分享了一段视频，演示了如何利用 Visual Studio Code 中的此缺陷。这种视觉表示不仅说明了该漏洞，而且还向开发社区发出了严厉的警告。