VSCode 漏洞可被用于窃取 GitHub Token
🌐 链接: https://linux.do/t/topic/2297521
🔍 关键词: #api
🏷️ 分组: LinuxDo论坛
🕒 时间: 2026-06-03 15:14:08
🌐 链接: https://linux.do/t/topic/2297521
🔍 关键词: #api
🏷️ 分组: LinuxDo论坛
🕒 时间: 2026-06-03 15:14:08
LINUX DO
VSCode 漏洞可被用于窃取 GitHub Token
安全研究者披露,攻击者可能通过诱导用户点击 github.dev 链接,利用 VSCode Webview 的键盘事件处理问题安装扩展,从而读取 GitHub API Token,并访问用户有权限的仓库,包括私有仓库。 该问题也存在于桌面版 VSCode,但利用门槛更高。研究者建议清除 github.dev 的站点数据;如果已运行 PoC,还应卸载相关测试扩展。 Ammar’s Blog
