CVE-2026-12958: Language Servers para AWS - Escrita de arquivo arbitrário
A vulnerabilidade ocorre devido à falta de validação de symlinks em Language Servers para AWS, permitindo que um atacante local escreva arquivos fora do limite de confiança do workspace. Isso pode ser explorado quando um usuário abre um workspace com um symlink malicioso que resolve para um caminho de arquivo fora do limite de confiança. O impacto real é a possibilidade de escrita de arquivos arbitrários no sistema. A vulnerabilidade pode ser explorada por um atacante local com acesso ao workspace.
CVE: CVE-2026-12958
Severidade: HIGH
Resumo:
A vulnerabilidade ocorre devido à falta de validação de symlinks em Language Servers para AWS, permitindo que um atacante local escreva arquivos fora do limite de confiança do workspace. Isso pode ser explorado quando um usuário abre um workspace com um symlink malicioso que resolve para um caminho de arquivo fora do limite de confiança. O impacto real é a possibilidade de escrita de arquivos arbitrários no sistema. A vulnerabilidade pode ser explorada por um atacante local com acesso ao workspace.
CVSS: 7.8