RooCodeInc Roo-Code hasta 3.20.2 search_files escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Resumen
Se ha identificado una vulnerabilidad clasificada como problemática en RooCodeInc Roo-Code hasta 3.20.2. Está afectada una función desconocida. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esta vulnerabilidad se cataloga como CVE-2025-53097. Se puede ejecutar el ataque remotamente. Ningún exploit está disponible. Se aconseja actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en RooCodeInc Roo-Code hasta 3.20.2 y clasificada como problemática. La función search_files es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la la integridad. CVE resume:
Roo Code es un agente de codificación autónomo basado en IA. Antes de la versión 3.20.3, existía un problema por el cual la herramienta `search_files` del agente Roo Code no respetaba la configuración para deshabilitar las lecturas fuera del espacio de trabajo de VS Code. Esto significa que un atacante que pudiera inyectar un mensaje en el agente podría leer un archivo confidencial y luego escribir la información en un esquema JSON. Los usuarios tienen la opción de deshabilitar la obtención del esquema en VS Code, pero la función está habilitada por defecto. Para los usuarios con esta función habilitada, escribir en el esquema activaría una solicitud de red sin que el usuario pudiera denegarla. Este problema es de gravedad moderada, ya que requiere que el atacante ya pueda enviar mensajes al agente. La versión 3.20.3 solucionó el problema por el cual `search_files` no respetaba la configuración para limitarlo al espacio de trabajo. Esto reduce el alcance del daño si un atacante logra tomar el control del agente mediante la inyección de mensajes u otro vector.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2025-53097. Se considera difícil de explotar. El ataque puede ser realizado a través de la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Una actualización a la versión 3.20.3 elimina esta vulnerabilidad. Aplicando el parche 10b2fb32ed047bbd7b8d10ef185c1ed345efcc92 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
La vulnerabilidad también está documentado en la base de datos EUVD (EUVD-2025-19434). If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
- Producto: https://github.com/RooCodeInc/Roo-Code/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.7VulDB Puntuación meta temporal: 5.7
VulDB Puntuación base: 3.7
VulDB Puntuación temporal: 3.6
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.5
NVD Vector: 🔒
CNA Puntuación base: 5.9
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-74 / CWE-707 / CWE-20
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: Roo-Code 3.20.3
Parche: 10b2fb32ed047bbd7b8d10ef185c1ed345efcc92
Línea de tiempo
2025-06-25 CVE asignado2025-06-28 Aviso publicado
2025-06-28 Entrada de VulDB creada
2025-09-15 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-wr2q-46pg-f228
Estado: Confirmado
CVE: CVE-2025-53097 (🔒)
GCVE (CVE): GCVE-0-2025-53097
GCVE (VulDB): GCVE-100-314298
EUVD: 🔒
Artículo
Fecha de creación: 2025-06-28 08:51Actualizado: 2025-09-15 16:33
Cambios: 2025-06-28 08:51 (67), 2025-06-28 09:07 (1), 2025-09-15 16:33 (12)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.