Cảnh báo khẩn cấp: Lỗ hổng CVE nghiêm trọng Spring CLI VSCode

Một lỗ hổng CVE về tấn công chèn lệnh (command injection) trong tiện ích mở rộng Spring CLI VSCode đang đặt ra rủi ro bảo mật đáng kể cho các nhà phát triển vẫn sử dụng công cụ đã lỗi thời này.

Lỗ hổng, được theo dõi với mã CVE-2026-22718, cho phép kẻ tấn công thực thi các lệnh tùy ý trên các máy bị ảnh hưởng. Điều này dẫn đến tác động nghiêm trọng ở mức độ trung bình.

Phân tích chi tiết Lỗ hổng CVE-2026-22718

Bản chất và Cơ chế Khai thác

Lỗ hổng chèn lệnh này hoạt động cục bộ và yêu cầu tương tác của người dùng để kích hoạt khai thác. Một kẻ tấn công có quyền truy cập cục bộ có thể thao túng việc xử lý đầu vào của tiện ích mở rộng để chèn các lệnh độc hại.

Quá trình này cuối cùng sẽ giúp kẻ tấn công chiếm được đặc quyền thực thi trên máy của nhà phát triển. Tiện ích mở rộng Spring CLI VSCode phiên bản 0.9.0 và các phiên bản cũ hơn đều bị ảnh hưởng bởi lỗ hổng CVE này.

Các Phiên bản bị Ảnh hưởng và Điểm CVSS

Lỗ hổng đã nhận được điểm CVSS 6.3 (Trung bình). Điểm số này phản ánh vector tấn công cục bộ và yêu cầu tương tác của người dùng. Tuy nhiên, tác động tiềm ẩn vẫn rất đáng kể.

Khai thác thành công có thể cho phép kẻ tấn công đọc các tệp nhạy cảm và sửa đổi cấu hình hệ thống. Điều này có thể dẫn đến việc xâm phạm môi trường phát triển lưu trữ mã nguồn và thông tin xác thực.

Tất cả các phiên bản của Spring CLI VSCode Extension lên đến 0.9.0 đều vẫn dễ bị tổn thương.

Nguy cơ từ Phần mềm Đã Hết Vòng Đời (EOL)

Không có Bản vá và Khuyến nghị Chuyển đổi

Mặc dù đã đạt đến thời điểm hết vòng đời (End-of-Life – EOL) vào ngày 14 tháng 5 năm 2025, nhóm Spring vẫn công bố CVE-2026-22718. Mục đích là để đảm bảo thông tin bảo mật phù hợp đến những người dùng có thể vẫn còn cài đặt tiện ích mở rộng này.

Vì tiện ích mở rộng đã chính thức đạt EOL vào tháng 5 năm 2025, không có bản vá nào được phát hành hoặc sẽ được cung cấp. Các nhà phát triển hiện đang dựa vào chức năng của Spring CLI nên chuyển sang các công cụ thay thế.

Hãy sử dụng các phương pháp phát triển Spring đã cập nhật, không phụ thuộc vào tiện ích mở rộng cũ này. Việc tiếp tục sử dụng tiện ích mở rộng này sẽ khiến các hệ thống phát triển tiếp xúc với các nguy cơ bị xâm nhập tiềm ẩn.

Việc công bố lỗ hổng này nhấn mạnh tầm quan trọng của việc loại bỏ các công cụ phát triển cũ. Đây là một cảnh báo CVE quan trọng cần được chú ý.

Hướng dẫn Gỡ bỏ Mở rộng (Extension)

Các tổ chức và nhà phát triển cá nhân đã cài đặt tiện ích mở rộng Spring CLI VSCode nên ưu tiên gỡ bỏ nó. Nhóm Spring khuyến nghị gỡ bỏ tiện ích mở rộng khỏi môi trường phát triển ngay lập tức. Chi tiết về lỗ hổng CVE-2026-22718 trên Spring.io.

Người dùng nên gỡ cài đặt tiện ích mở rộng từ chợ tiện ích mở rộng của VS Code hoặc xóa thư mục tiện ích mở rộng theo cách thủ công. Đây là biện pháp chính để giảm thiểu rủi ro bảo mật liên quan đến lỗ hổng CVE này.

Ghi nhận và Trách nhiệm Công bố

Vấn đề này đã được tiết lộ một cách có trách nhiệm bởi nhà nghiên cứu bảo mật Yue Liu. Điều này cho phép nhóm Spring có đủ thời gian để đánh giá và truyền đạt rủi ro trước khi công bố rộng rãi.