Los investigadores de ciberseguridad han revelado detalles de un error ahora parcheado que afecta el proceso de escaneo previo a la publicación de Open VSX y hace que la útil permita que una extensión maliciosa de Microsoft Visual Studio Code (VS Code) pase el proceso de investigación y entre en funcionamiento en el registro.
“La canalización tenía un único valencia de retorno booleano que significaba ‘no hay escáneres configurados’ y ‘todos los escáneres no pudieron ejecutarse'”, dijo el investigador de Koi Security, Oran Simhony, en un mensaje compartido con The Hacker News. “La persona que llamó no pudo notar la diferencia. Entonces, cuando los escáneres fallaron bajo carga, Open VSX lo trató como ‘carencia que averiguar’ y agitó la extensión directamente”.
A principios del mes pasado, la Fundación Desvanecimiento, que mantiene Open VSX, anunció planes para aplicar controles de seguridad previos a la publicación antaño de que las extensiones de VS Code se publiquen en el repositorio en un intento de afrontar el creciente problema de las extensiones maliciosas.
Donado que Open VSX asimismo sirve como mercado de extensiones para Cursor, Windsurf y otras bifurcaciones de VS Code, la medida fue tino como un enfoque proactivo para evitar que se publiquen extensiones maliciosas en primer oportunidad. Como parte del exploración previo a la publicación, las extensiones que no superan el proceso se ponen en cuarentena para revisión del administrador.
La vulnerabilidad descubierta por Koi, cuyo nombre en código Sésamo destapadotiene que ver con cómo este servicio basado en Java informa los resultados del exploración. Específicamente, se debe al hecho de que malinterpreta las fallas en el trabajo del escáner, ya que no hay escáneres configurados, lo que hace que una extensión se marque como aprobada y luego se active inmediatamente y esté arreglado para su descarga desde Open VSX.
Al mismo tiempo, asimismo puede hacer narración a un proscenio en el que los analizadores existen y los trabajos del analizador han fallado y no se pueden poner en posaderas porque el conjunto de conexiones de la colchoneta de datos está rendido. Aún más preocupante, un servicio de recuperación diseñado para reintentar exploración fallidos sufrió el mismo problema, permitiendo así que las extensiones omitan todo el proceso de exploración bajo ciertas condiciones.
Un atacante puede disfrutar esta amor para inundar el punto final de publicación con varias extensiones .VSIX maliciosas, lo que provoca que la carga simultánea agote el conjunto de conexiones de la colchoneta de datos. Esto, a su vez, conduce a un proscenio en el que los trabajos de escaneo no se ponen en posaderas.
Lo extraordinario del ataque es que no requiere ningún privilegio específico. Un actor bellaco con una cuenta de editor gratuita podría activo activado de forma confiable esta vulnerabilidad para socavar el proceso de escaneo y divulgar su extensión. El problema se solucionó en la interpretación 0.32.0 de Open VSX el mes pasado luego de la divulgación responsable el 8 de febrero de 2026.
“El escaneo previo a la publicación es una capa importante, pero es una capa”, dijo Koi. “El diseño del oleoducto es sólido, pero un solo valencia booleano que no podía distinguir entre ‘carencia que hacer’ y ‘poco salió mal’ convirtió toda la infraestructura en una puerta que se abrió bajo presión”.
“Este es un antipatrón popular: manejo de errores de tolerancia fallida escondido detrás de una ruta de código diseñada para un caso lícito de ‘carencia que hacer’. Si está creando canalizaciones similares, haga explícitos los estados de descompostura. Nunca permita que ‘no se necesita trabajo’ y ‘trabajo fallido’ compartan un valencia de retorno”.
