VSCode的webview实现中存在一个严重的安全漏洞,攻击者只需点击一次即可窃取GitHub令牌,可能危及私有仓库的访问。该漏洞影响github.dev基于网页的编辑器,该编辑器使用具有广泛权限的OAuth令牌。研究人员负责任地披露了该问题,VSCode已发布补丁修复此漏洞。
背景
VSCode的基于网页的编辑器github.dev使用OAuth令牌提供仓库访问权限,但这些令牌对所有用户仓库具有广泛权限。研究发现VSCode的webview实现存在安全缺陷,可能被利用来窃取这些令牌。
- 来源
- Lobsters
- 发布时间
- 2026年6月3日 08:22
- 评分
- 9.0 / 10