NEU HIGH
VS Code zero-day lets hackers steal GitHub tokens in one click
Key Insight
Eine Zero-Day-Schwachstelle in VS Code ermöglicht es Angreifern, GitHub-Token mit minimalem Aufwand zu exfiltrieren und damit Zugriff auf Code-Repositories und CI/CD-Pipelines zu erlangen.
Beschreibung
Eine bislang unbekannte kritische Schwachstelle in Visual Studio Code ermöglicht es Angreifern, authentifizierte GitHub-Token durch einen einfachen Benutzer-Klick zu stehlen. Die Schwachstelle wird aktiv ausgenutzt und ermöglicht unbefugten Zugriff auf private Code-Repositories, Continuous Integration/Deployment-Systeme und möglicherweise weitere integrierte Dienste. Entwicklungsumgebungen sind in Manufacturing-Unternehmen zentral für die Verwaltung von Produktions-Automatisierungscode, SPS-Firmware und digitalen Konstruktionsdaten.
Risk Score
17
- cvss base
- 0.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 15.00
- raw before weight
- 15.00
- industry weight
- 1.21
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- -10.00
- consensus penalty
- -3.00
Pfad: operational