Vulnerabilidad en Code-server (CVE-2025-47269)

Code-server ejecuta VS Code en cualquier máquina, desde cualquier lugar, mediante acceso al navegador. Antes de la versión 4.99.4, una URL maliciosa que usara la subruta del proxy podía permitir que un atacante obtuviera acceso al token de sesión. Si no se valida correctamente el puerto para una solicitud de proxy, se puede redirigir a un dominio arbitrario. La URL maliciosa «https:///proxy/test@evil.com/path» se redirigía a «test@evil.com/path», donde el atacante podría extraer el token de sesión de un usuario. Cualquier usuario que ejecute Code-server con el proxy integrado habilitado haga clic en enlaces maliciosos que dirijan a sus instancias de Code-server con referencia a /proxy. Normalmente, esto se utiliza para redirigir puertos locales; sin embargo, la URL puede hacer referencia al dominio del atacante, y la conexión se redirige a ese dominio, lo que incluye el envío de cookies. Con acceso a la cookie de sesión, el atacante puede iniciar sesión en el servidor de código y tener acceso completo a la máquina que lo aloja como el usuario que lo ejecuta. Este problema se ha corregido en la versión 4.99.4.