CVE-2025-64660 - 安全更新指南 - Microsoft - GitHub Copilot和Visual Studio Code远程代码执行漏洞
您需要启用JavaScript来运行此应用。跳转到主要内容
Microsoft MSRC
安全更新 | 致谢 | 反馈和支持
CVE-2025-64660
GitHub Copilot 和 Visual Studio Code 远程代码执行漏洞 新发布 | 最近更新
本页内容
- CVE-2025-64660
- 订阅 RSS
- PowerShell API
- CSAF
安全漏洞
发布日期: 2025年11月20日 最后更新: 2025年11月25日 分配CNA: Microsoft CVE.org 链接: CVE-2025-64660
影响 远程代码执行
最高严重性 重要
弱点 CWE-284: 访问控制不当
CVSS 来源 Microsoft
向量字符串
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
指标 CVSS:3.1 8.0 / 7.0 基本分数指标:8.0 / 时间分数指标:7.0
展开所有 | 折叠所有
基本分数指标 (8)
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围超出其他列出的选项,直至并包括整个互联网。此类漏洞通常被称为“可远程利用”,可被视为攻击在一个或多个网络跃点(例如,跨越一个或多个路由器)的协议级别可利用。 |
| 攻击复杂度 | 低 | 不存在专门的访问条件或情有可原的情况。攻击者可以期望对易受攻击的组件取得可重复的成功。 |
| 所需权限 | 低 | 攻击者被授权拥有(即需要)提供基本用户能力的权限,这些权限通常只能影响用户拥有的设置和文件。或者,拥有低权限的攻击者可能仅能对非敏感资源造成影响。 |
| 用户交互 | 必需 | 成功利用此漏洞需要用户在漏洞被利用之前采取某些操作。 |
| 范围 | 未更改 | 被利用的漏洞只能影响由同一安全机构管理的资源。在这种情况下,易受攻击的组件和受影响的组件要么相同,要么都由同一安全机构管理。 |
| 保密性影响 | 高 | 存在完全的保密性丧失,导致受影响组件内的所有资源泄露给攻击者。或者,仅获取了一些受限信息的访问权,但披露的信息造成了直接、严重的影响。 |
| 完整性影响 | 高 | 存在完全的完整性丧失,或完全丧失保护。例如,攻击者能够修改受影响组件保护的任何/所有文件。或者,只能修改某些文件,但恶意修改会对受影响组件造成直接、严重的后果。 |
| 可用性影响 | 高 | 存在完全的可用性丧失,导致攻击者能够完全拒绝对受影响组件中资源的访问;这种丧失要么是持续的(在攻击者持续发起攻击时),要么是持久的(即使在攻击完成后情况仍然存在)。或者,攻击者有能力拒绝部分可用性,但可用性的丧失对受影响组件造成直接、严重的后果(例如,攻击者无法中断现有连接,但可以阻止新连接;攻击者可以反复利用一个漏洞,在每次成功攻击实例中仅泄露少量内存,但在反复利用后导致服务变得完全不可用)。 |
时间分数指标 (3)
| 指标 | 值 | 描述 |
|---|---|---|
| 利用代码成熟度 | 未证实 | 没有公开可用的利用代码,或者利用是理论性的。 |
| 修复级别 | 官方修复 | 有完整的供应商解决方案可用。供应商已发布官方补丁,或提供了升级版本。 |
| 报告可信度 | 已确认 | 存在详细报告,或可以进行功能复现(功能性漏洞利用可能提供这一点)。有源代码可以独立验证研究论断,或者受影响代码的作者或供应商已确认存在该漏洞。 |
请参阅 通用漏洞评分系统 以获取有关这些指标定义的更多信息。
执行摘要
GitHub Copilot 和 Visual Studio Code 中的不当访问控制允许授权攻击者通过网络执行代码。
可利用性
下表提供了此漏洞在原始发布时的可利用性评估。
| 项目 | 状态 |
|---|---|
| 公开披露 | 否 |
| 已利用 | 否 |
| 可利用性评估 | 利用可能性较低 |
常见问题解答
问: 根据CVSS指标,需要权限(PR:L)并且需要用户交互(UI:R)。攻击者如何利用这个远程代码执行漏洞? 答: 经过身份验证的攻击者可以将恶意文件放入目标仓库中。然后,用户将必须在 Visual Studio Code 中信任该文件并向 GitHub Copilot 寻求帮助。
致谢
- AmeenBasha M K
- Tarek Nakkouch
- Ari Marzuk 𝕏 @ari_maccarita 以及 https://maccarita.com/
Microsoft 感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的努力。有关更多信息,请参阅 致谢。
安全更新
要确定软件的支持生命周期,请参阅 Microsoft 支持生命周期。
| 发布日期 降序 | 编辑列 | 下载 | 筛选器 |
|---|---|---|---|
| 产品系列 | 最高严重性 | 影响 | 平台 |
| 清除 |
| 发布日期 | 产品 | 平台 | 影响 | 最高严重性 | 文章 | 下载 | 内部版本号 |
|---|---|---|---|---|---|---|---|
| 2025年11月20日 | Visual Studio Code | - | 远程代码执行 | 重要 | 知识库文章: 发行说明 |
安全更新 | 1.106.2 |
已加载所有1行结果
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。Microsoft 否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,对于任何损害,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知可能发生此类损害,Microsoft Corporation 或其供应商也不承担任何责任。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订
| 版本 | 修订 | 日期 | 描述 |
|---|---|---|---|
| 1.1 | 修订 | 2025年11月25日 | 进行了以下修订:1) 在“安全更新”表中,将影响条目更正为“远程代码执行”。2) CVSS 分数已更新。这些仅为信息性更改。已成功安装更新的客户无需采取任何进一步操作。 |
| 1.0 | 发布 | 2025年11月20日 | 信息发布。 |