安全通告 NCSC-2025-0362 [1.0.0]
发布日期:2025年11月11日 19:35(欧洲/阿姆斯特丹) 优先级:正常 涉及内容:Microsoft Visual Studio中的漏洞修复
漏洞特征
- 输入验证不当
- 路径名限制不当导致的路径遍历
- 命令中特殊元素中和不当导致的命令注入
- 保护机制失效
- 生成式AI输出验证不当
描述
Microsoft已在Visual Studio和Code Copilot for Visual Studio中修复了多个安全漏洞。攻击者可利用这些漏洞绕过安全措施,在受害者环境中执行任意代码。要成功利用这些漏洞,攻击者需要诱骗受害者导入恶意代码。
Visual Studio Code CoPilot Chat Extension:
| CVE-ID | CVSS | 影响 |
|---|---|---|
| CVE-2025-62222 | 8.80 | 任意代码执行 |
| CVE-2025-62449 | 6.80 | 安全措施绕过 |
GitHub Copilot and Visual Studio Code:
| CVE-ID | CVSS | 影响 |
|---|---|---|
| CVE-2025-62453 | 5.00 | 安全措施绕过 |
Visual Studio:
| CVE-ID | CVSS | 影响 |
|---|---|---|
| CVE-2025-62214 | 6.70 | 任意代码执行 |
解决方案
Microsoft已发布更新修复所述漏洞。建议用户安装这些更新。有关漏洞、更新安装和任何变通方案的更多信息,请访问: https://portal.msrc.microsoft.com/en-us/security-guidance
CVE编号
- CVE-2025-62214 - CVSS (v3) 6.7
- CVE-2025-62222 - CVSS (v3) 8.8
- CVE-2025-62449 - CVSS (v3) 6.8
- CVE-2025-62453 - CVSS (v3) 5.0
受影响产品
- Microsoft
- Microsoft Visual Studio 2022 version 17.14
- Microsoft Visual Studio Code CoPilot Chat Extension
- Visual Studio Code
免责声明
荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全通告的访问。使用此安全通告需遵守以下条款和条件:
NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。然而,NCSC-NL不能完全排除错误的可能性,因此不能就其完整性、准确性或持续更新提供任何保证。此安全通告中包含的信息仅用于向专业用户提供一般信息。不得从所提供的信息中获取任何权利。
NCSC-NL和荷兰王国对因使用或无法使用此安全通告而导致的任何损害不承担法律责任或义务。这包括因通告中信息不准确或不完整而造成的损害。
此安全通告受荷兰法律管辖。与使用此通告相关或由此产生的所有争议将提交给海牙有管辖权的法院。此选择方式也适用于简易程序法院。