Visual Studio Code Prisma Extension Remote Code Execution Vulnerability 漏洞信息(CVE-2021-21415)

一、漏洞 CVE-2021-21415 基础信息

漏洞标题

Visual Studio Code Prisma 扩展远程代码执行漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Visual Studio Code Prisma 扩展远程代码执行漏洞

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Visual Studio Code Prisma Extension Remote Code Execution Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Prisma VS Code a VSCode extension for Prisma schema files. This is a Remote Code Execution Vulnerability that affects all versions of the Prisma VS Code extension older than 2.20.0. If a custom binary path for the Prisma format binary is set in VS Code Settings, for example by downloading a project that has a .vscode/settings.json file that sets a value for "prismaFmtBinPath". That custom binary is executed when auto-formatting is triggered by VS Code or when validation checks are triggered after each keypress on a *.prisma file. Fixed in versions 2.20.0 and 20.0.27. As a workaround users can either edit or delete the `.vscode/settings.json` file or check if the binary is malicious and delete it.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Prisma VS Code extension 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Prisma VS Code extension是一个代码扩展程序，可为prisma文件进行语法高亮、格式化、改名、快速修复等。 Prisma VS Code extension 存在安全漏洞，攻击者可利用该漏洞远程代码执行。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-21415 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-21415 的情报信息

https://github.com/prisma/language-tools/security/advisories/GHSA-4rf9-43m7-x828 x_refsource_CONFIRM
https://github.com/prisma/language-tools/pull/750 x_refsource_MISC
https://marketplace.visualstudio.com/items?itemName=Prisma.prisma x_refsource_MISC
https://marketplace.visualstudio.com/items?itemName=Prisma.prisma-insider x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-21415

一、 漏洞 CVE-2021-21415 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-21415 的公开POC

三、漏洞 CVE-2021-21415 的情报信息

一、漏洞 CVE-2021-21415 基础信息