Spring CLI VSCode uzantısındaki bir komut ekleme güvenlik açığı, saldırganların etkilenen kullanıcı makinelerinde rastgele komutlar yürütmesine olanak tanıyor.
CVE-2026-22718 olarak takip edilen güvenlik açığı, uzantının 0.9.0’a kadar tüm sürümlerini etkiliyor ve kullanım ömrü sonu durumuna rağmen hala güncelliğini yitirmiş aracı kullanan geliştiriciler için önemli bir risk oluşturuyor.
Güvenlik Açığı Ayrıntıları
Spring CLI VSCode uzantısı, saldırganların güvenliği ihlal edilmiş sistemlerde rastgele komutlar yürütmek için kullanabileceği bir komut ekleme kusuru içeriyor.
Güvenlik açığından yararlanmak için yerel erişim ve kullanıcı etkileşimi gerekiyor. Ancak ORTA şiddet derecesine sahiptir ve sistem gizliliği ve bütünlüğü üzerinde yüksek etkiye sahiptir.
| Alan | Detaylar |
| CVE Kimliği | CVE-2026-22718 |
| Güvenlik Açığı Türü | Komut Enjeksiyonu |
| Etkilenen Ürün | Bahar CLI VSCode Uzantısı |
| Etkilenen Sürümler | 0.9.0 ve üzeri (tümü desteklenmiyor) |
| Şiddet | ORTA |
| CVSS v3.1 Puanı | 6.8 |
Uzantı resmi olarak 14 Mayıs 2025’te kullanım ömrünün sonuna ulaştı; bu, birkaç aydır herhangi bir güvenlik güncellemesi veya bakım almadığı anlamına geliyor.
EOL durumuna rağmen Spring geliştirme ekibi, kullanıcılarla şeffaf iletişim sağlamak ve kullanımdan kaldırılan uzantıyı geliştirme ortamlarından kaldırmanın önemini vurgulamak için bu CVE’yi atamayı ve belgelemeyi seçti.
Komut ekleme güvenlik açığı yerel bir saldırı vektörüne dayanır ve saldırganın zaten yerel sistem erişimine sahip olmasını gerektirir.
Bu açıktan yararlanmanın tetiklenmesi için düşük ayrıcalıklar ve kullanıcı etkileşimi gerekiyor, bu da onu tehlikeye atılmış geliştirme iş istasyonları veya paylaşılan sistemler için pratik bir saldırı yüzeyi haline getiriyor.
Güvenlik açığı, yüksek etkili gizlilik ve bütünlük ihlallerinin yanı sıra sınırlı kullanılabilirlik etkilerine de yol açabilir.
Spring CLI VSCode uzantısının 0.9.0’a kadar olan tüm sürümleri güvenlik açığına sahiptir.
Kritik etki azaltma stratejisi basittir: Geliştiriciler, güvenlik açığı bulunan uzantıyı VSCode ortamlarından derhal kaldırmalıdır.
Uzantının kullanım ömrünün sona ermesi nedeniyle yamalı bir sürüm mevcut değildir, bu da kaldırma işlemini geçerli tek koruyucu önlem haline getirmektedir.
Kuruluşlar, Spring CLI uzantısının yüklü kaldığı örnekleri belirlemek için geliştirme ekiplerini denetlemeli ve tüm kodlama ortamlarında kaldırılmasını koordine etmelidir.
Buna bağımsız iş istasyonları, paylaşılan geliştirme makineleri ve VSCode uzantılarını kullanabilen CI/CD işlem hatları dahildir.
Güvenlik açığı, güvenlik araştırmacısı Yue Liu tarafından sorumlu bir şekilde açıklandı ve açık kaynak ekosisteminde koordineli güvenlik açığı raporlamasının önemi ortaya çıktı.
Spring Discovery, kullanımdan kaldırılan araçların bile, desteklenmeyen yazılımlardan uzaklaşma ihtiyacını hemen fark edemeyebilecek kullanıcıları korumak için güvenlik önlemleri gerektirdiğini vurguluyor.
Spring CLI işlevselliğine güvenen geliştiriciler, desteklenen alternatiflere geçiş yapmalı ve geliştirme araçlarının aktif bakım ve güvenlik yamalarıyla güncel kalmasını sağlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.