https://blog.qife122.com/tags/python%E6%89%A9%E5%B1%95/ Recent content in Python扩展 on 办公AI智能小助手 Hugo zh-cn qife Sat, 20 Sep 2025 02:57:39 +0800 https://blog.qife122.com/p/%E8%AD%A6%E6%83%95%E6%81%B6%E6%84%8F%E4%BB%93%E5%BA%93visual-studio-code-python%E6%89%A9%E5%B1%95%E7%9A%84%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E/ Sat, 20 Sep 2025 02:57:39 +0800 https://blog.qife122.com/p/%E8%AD%A6%E6%83%95%E6%81%B6%E6%84%8F%E4%BB%93%E5%BA%93visual-studio-code-python%E6%89%A9%E5%B1%95%E7%9A%84%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E/ <h3 id="漏洞背景">漏洞背景</h3> <p>这是关于我在Visual Studio Code Python扩展中发现代码执行漏洞的故事。该扩展在市场上的安装量已超过1650万次。</p> <h3 id="漏洞详情">漏洞详情</h3> <p>某次审计客户Python Web应用时，我注意到一个警告提示需要安装pylint。但即使用户模式安装后警告依然存在。随后我注意到编辑器左下角显示的&quot;venv-test&quot;环境——VSCode竟自动选择了项目文件夹中的Python环境！为验证猜想，我在该虚拟环境中安装pylint后警告消失。</p>