CVE-2025-1007

Nome do Software Vulnerável e Versões Afetadas Versões do OpenVSX v0.9.0 até v0.20.0

Descrição O problema permite que um usuário edite todos os detalhes do namespace, incluindo nome, descrição, site, link de suporte e links de redes sociais, mesmo que o usuário não seja um Proprietário ou Contribuidor do namespace. Isso é possível através do endpoint da API /user/namespace/{namespace}/details e também afeta o endpoint /user/namespace/{namespace}/details/logo, permitindo que um usuário altere o logo.

Recomendações Para as versões do OpenVSX v0.9.0 até v0.20.0, considere restringir o acesso aos endpoints da API /user/namespace/{namespace}/details e /user/namespace/{namespace}/details/logo, permitindo apenas que usuários autorizados, como Proprietários ou Contribuidores do namespace, editem os detalhes do namespace e alterem logos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.