VDB-155163 · CVE-2020-1171 · GCVE-0-2020-1171

Microsoft Visual Studio Code Python Extension 权限提升

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
7.4	$0-$5k	0.00

摘要信息

在Microsoft Visual Studio Code 中已发现分类为致命的漏洞。此漏洞会影响未知代码的组件Python Extension。在被操纵的情况下，会引发权限提升。该漏洞被命名为CVE-2020-1171，远程可以启动攻击，没有可利用漏洞。建议修补漏洞以消除此问题。

在Microsoft Visual Studio Code 中已发现分类为致命的漏洞。此漏洞会影响未知代码的组件Python Extension。在被操纵的情况下，会引发权限提升。使用CWE来声明会导致 CWE-20 的问题。此漏洞的脆弱性 2020-05-12公示人类型为Security Update Guide (网站)所发布。该通告可在 portal.msrc.microsoft.com 下载。与供应商合作公开发布。

该漏洞被命名为CVE-2020-1171，远程可以启动攻击，无技术细节可用。此漏洞的流行程度低于一般水平。没有可利用漏洞。目前，大约为美元 $0-$5k。公告内容如下：

A remote code execution vulnerability exists in Visual Studio Code when the Python extension loads configuration files after opening a project. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

若长度存在，则声明为未定义。该0day漏洞在地下市场的估算价格大约是$5k-$25k。

建议修补漏洞以消除此问题。漏洞披露后立即有可能的缓解措施被公布。