В экосистеме инструментов для разработчиков выявлена новая угроза. Расширение Spring CLI для популярного редактора кода Visual Studio Code (VSCode) содержит опасную уязвимость внедрения команд (command injection), которая присвоен идентификатор CVE-2026-22718. Эта проблема затрагивает все версии расширения, вплоть до 0.9.0, и представляет значительный риск для разработчиков, все еще использующих этот устаревший инструмент, несмотря на прекращение его поддержки.
Детали уязвимости
Уязвимость позволяет злоумышленнику выполнять произвольные команды на скомпрометированной системе. Эксплуатация требует локального доступа к машине и взаимодействия с пользователем. Однако, несмотря на эти условия, проблема получила средний (MEDIUM) уровень серьезности по шкале CVSS с оценкой 6.8. Основное воздействие приходится на конфиденциальность и целостность данных в системе, что делает её опасным инструментом для эскалации привилегий на уже скомпрометированных рабочих станциях.
Важно отметить, что официальная поддержка расширения Spring CLI для VSCode была прекращена 14 мая 2025 года. Следовательно, данный инструмент уже несколько месяцев не получает обновлений безопасности или технического обслуживания. Тем не менее, команда разработчиков Spring приняла решение зарегистрировать и опубликовать информацию об этой уязвимости. Такой шаг демонстрирует прозрачность в коммуникации с сообществом и подчеркивает критическую важность удаления устаревшего программного обеспечения из рабочих сред.
Механизм атаки основан на локальном векторе. Злоумышленнику необходимо иметь доступ к системе, например, через компрометацию рабочей станции разработчика или на общей машине. Для запуска вредоносной полезной нагрузки (malicious payload) требуется низкий уровень привилегий и определенные действия со стороны пользователя. Таким образом, уязвимость создает практическую поверхность для атаки, особенно в средах, где безопасность отдельных рабочих мест может быть ослаблена.
Все версии расширения вплоть до 0.9.0 являются уязвимыми. Поскольку расширение больше не поддерживается, исправленной версии выпущено не будет. Единственной эффективной мерой защиты является немедленное удаление расширения Spring CLI из всех инсталляций VSCode. Организациям рекомендуется провести аудит среди команд разработки для выявления случаев, когда данное расширение все еще используется. Удаление должно быть скоординировано на всех типах сред: отдельных рабочих станциях, общих серверах для разработки и в конвейерах непрерывной интеграции и доставки (CI/CD), где могут использоваться расширения VSCode.
Ответственное разглашение информации об уязвимости было осуществлено исследователем безопасности Yue Liu. Этот случай вновь показывает важность скоординированного процесса отчетности об уязвимостях в мире open-source. Открытие также служит напоминанием, что даже устаревшие и неподдерживаемые инструменты требуют внимания с точки зрения безопасности. Многие пользователи могут не сразу осознать необходимость перехода с неподдерживаемого программного обеспечения на актуальные аналоги.
Разработчикам, которые полагались на функционал Spring CLI, следует перейти на поддерживаемые альтернативы. Ключевой вывод для индустрии заключается в необходимости поддерживать актуальность всего стека инструментов для разработки. Использование только активно поддерживаемого программного обеспечения, получающего регулярные патчи безопасности, является фундаментальной практикой для снижения киберрисков. Данный инцидент лишний раз подтверждает, что своевременный отказ от устаревших компонентов так же важен, как и установка обновлений для текущих.
