David Dworken

**Nome do software vulnerável e versões afetadas: Eclipse Theia, versões 0.1.1 a 0.2.0 Descrição: A vulnerabilidade permite a execução remota de código e XXE por meio da extensão theia-xml-extension, que utiliza o lsp4xml (recentemente renomeado para LemMinX) para suporte à linguagem XML. Essa extensão vem instalada por padrão. Recomendações: Para as versões 0.1.1 a 0.2.0 do Eclipse Theia, considere desativar a extensão theia-xml-extension como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao componente LemMinX para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Visual Studio Code (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada a um gerenciamento incorreto da geração de código no editor. A exploração dessa vulnerabilidade pode permitir que um invasor execute código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** vscode-stripe (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade na extensão Stripe para Visual Studio Code quando ela carrega um repositório de código-fonte não confiável contendo configurações maliciosas. Isso poderia permitir que um invasor executasse código arbitrário no contexto do usuário atual. O problema está relacionado à validação das configurações da extensão. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Extensão Remote Development do Visual Studio Code (versões afetadas não especificadas) **Descrição** O problema está relacionado a um gerenciamento incorreto da geração de código na extensão Remote Development do Visual Studio Code. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Visual Studio Code Java Extension Pack (versões afetadas não especificadas) **Descrição** O problema está relacionado ao gerenciamento incorreto da geração de código no Visual Studio Code Java Extension Pack. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Extensão ESLint do Visual Studio Code (versões afetadas não especificadas) Descrição: A vulnerabilidade está relacionada à falta de proteção dos dados internos na extensão ESLint do Microsoft Visual Studio Code. A exploração dessa vulnerabilidade pode permitir que um invasor execute código arbitrário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Microsoft Quantum Development Kit para Visual Studio Code (versões afetadas não especificadas) Descrição: O problema está relacionado à falta de proteção dos dados de serviço no Microsoft Quantum Development Kit para Visual Studio Code. Isso pode permitir que um invasor execute código arbitrário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Visual Studio (versões afetadas não especificadas) Visual Studio Code (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de entradas no Microsoft Visual Studio, o que pode permitir que um invasor execute código arbitrário. Trata-se de uma vulnerabilidade de execução remota de código. **Recomendações** Para o Microsoft Visual Studio, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para o Visual Studio Code, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Visual Studio Code (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de execução remota de código quando o Visual Studio Code processa variáveis de ambiente após a abertura de um projeto. Um invasor que explorar essa vulnerabilidade com sucesso poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual tiver direitos administrativos, o invasor poderá assumir o controle do sistema, instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas com direitos de usuário completos. Para explorar essa vulnerabilidade, um invasor precisaria convencer um alvo a clonar um repositório e abri-lo no Visual Studio Code, com o código especificado pelo invasor sendo executado quando o alvo abrir o terminal integrado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da Eclipse Web Tools Platform anteriores à 3.18 (2020-06) **Descrição** A vulnerabilidade permite que arquivos XML e DTD que fazem referência a entidades externas sejam explorados, enviando o conteúdo de arquivos locais para um servidor remoto quando editados ou validados. Isso pode ocorrer mesmo quando a resolução de entidades externas estiver desativada nas preferências do usuário. **Recomendações** Para versões da Eclipse Web Tools Platform anteriores à 3.18 (2020-06), considere atualizar para uma versão posterior à 3.18 (2020-06) para resolver o problema. Como solução temporária, restrinja a edição e a validação de arquivos XML e DTD que se referem a entidades externas para minimizar o risco de exploração.