Vulnerabilidade no Open VSX permite publicação de extensões maliciosas

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Open VSX, que afeta o processo de verificação de extensões do Visual Studio Code (VS Code). A falha, identificada como ‘Open Sesame’, permitiu que extensões maliciosas passassem pelo processo de verificação e fossem publicadas no repositório. O problema reside em um retorno booleano que não diferencia entre ’nenhum scanner configurado’ e ’todos os scanners falharam’, levando a uma interpretação errônea dos resultados de verificação. Quando os scanners falhavam sob carga, o Open VSX considerava que não havia nada a escanear, permitindo que extensões maliciosas fossem ativadas e disponibilizadas para download. A vulnerabilidade foi explorada por atacantes que inundaram o endpoint de publicação com várias extensões maliciosas, esgotando o pool de conexões do banco de dados e impedindo que os trabalhos de verificação fossem enfileirados. A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável em fevereiro de 2026. A situação destaca a importância de um design robusto em pipelines de segurança, onde estados de falha devem ser explicitamente tratados.

Fonte: https://thehackernews.com/2026/03/open-vsx-bug-let-malicious-vs-code.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
27/03/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidade no Open VSX permite publicação de extensões maliciosas

RESUMO EXECUTIVO
A vulnerabilidade no Open VSX, que permitiu a publicação de extensões maliciosas, destaca a necessidade de um controle rigoroso na verificação de software. A falha foi corrigida na versão 0.32.0, mas a situação ressalta a importância de um design de pipeline que trate adequadamente estados de falha.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados a incidentes de segurança e recuperação de dados.
Operacional
Publicação de extensões maliciosas sem verificação adequada.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Falha permitiu a publicação de extensões maliciosas sem verificação. Indicador
O problema foi causado por um retorno booleano inadequado. Contexto BR
A vulnerabilidade foi corrigida na versão 0.32.0. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão 0.32.0 do Open VSX está implementada.
2 Implementar controles adicionais para monitorar extensões publicadas.
3 Monitorar continuamente a integridade das extensões instaladas e as atualizações do Open VSX.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança das extensões utilizadas em ambientes de desenvolvimento, pois a falha pode comprometer a integridade do software.

⚖️ COMPLIANCE

Implicações legais relacionadas à segurança de software e proteção de dados sob a LGPD.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).