CVE-2026-42213 in SolidCAM-GPPL-IDE
要約
〜によって VulDB • 2026年05月20日
SolidCAM-GPPL-IDEは、SolidCAM用の非公式で独立して開発された拡張機能であるPostprocessor IDEです。バージョン1.0.0からバージョン1.0.2より前まで、GPPLポストプロセッサファイル内のinc "filename"ディレクティブは、GpplDocumentLinkHandlerによってVS CodeのtextDocument/documentLink(クリック可能なリンク)として解決されていました。このハンドラーは、絶対パス、親ディレクトリセグメントを含む相対パス(..\..\..\)、UNCパス(\\server\share\)、および任意のサブフォルダを含む任意のパスを受け入れ、各パスに対してFile.Existsを呼び出してリンクのレンダリング有無を決定していました。これにより、2つの異なる攻撃面が生じました。1つはFile.Existsプロービングによる情報漏洩、もう1つはUNCパスプロービングによるNTLMハッシュの漏洩です。この問題はバージョン1.0.2で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.