Webview漏洞 on 办公AI智能小助手

突破VSCode扩展安全限制：路径遍历漏洞分析与利用

Sat, 20 Sep 2025 07:54:48 +0800

突破配置良好的VSCode扩展（以获利为目的）- Trail of Bits博客

Vasco Franco
2023年2月23日
漏洞披露

在这个由两部分组成的系列文章的第一部分中，我们逃逸了现实世界中配置错误的VSCode扩展中的Webview。但如果扩展配置良好，我们还能逃逸吗？

逃离配置不当的VSCode扩展：Webview漏洞分析与利用

Wed, 10 Sep 2025 11:33:28 +0800

逃离配置不当的VSCode扩展 - The Trail of Bits博客

TL;DR：这篇分为两部分的博客系列将介绍我如何发现并披露VSCode扩展中的三个漏洞以及VSCode本身的一个漏洞（CVE-2022-41042安全绕过漏洞，获得7500美元奖金）。我们将识别每个漏洞的根本原因，并创建完整可用的漏洞利用程序来演示攻击者如何入侵您的计算机。我们还将推荐防止类似问题发生的方法。

突破VSCode扩展安全限制：路径遍历漏洞分析与利用

Mon, 08 Sep 2025 23:43:40 +0800

突破配置良好的VSCode扩展（获利）- Trail of Bits博客

Vasco Franco
2023年2月23日
漏洞披露

在这个由两部分组成的系列文章的第一部分中，我们逃逸了现实世界中配置错误的VSCode扩展中的Webview。但是如果扩展配置良好，我们还能逃逸吗？