一、 漏洞 CVE-2025-8217 基础信息
漏洞信息
                                        # 亚马逊Q开发工具VS Code扩展注入恶意脚本漏洞

## 概述

Amazon Q Developer Visual Studio Code(VS Code)扩展版本 v1.84.0 中包含了用于调用 Q Developer CLI 的注入代码。该代码在扩展启动时执行,但由于存在语法错误,导致无法成功调用 Q Developer CLI 的 API。

## 影响版本

- **Amazon Q Developer VS Code 扩展 v1.84.0**

## 细节

- 扩展中包含的注入代码在启动时自动执行。
- 代码中存在语法错误,阻止了对 Q Developer CLI 的有效 API 调用。
- 此漏洞虽未导致实际攻击发生,但引入了潜在的安全风险。

## 影响

- 可能导致扩展功能无法正常使用。
- 存在潜在的安全隐患,因代码注入行为在特定条件下可能被恶意利用。

## 缓解措施

- 用户应升级到 **v1.85.0** 版本。
- 所有 **v1.84.0** 的安装都应被移除并停止使用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Inert Malicious script injected into Amazon Q Developer Visual Studio Code (VS Code) Extension
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Amazon Q Developer Visual Studio Code (VS Code) extension v1.84.0 contains inert, injected code designed to call the Q Developer CLI. The code executes when the extension is launched within the VS Code environment; however the injected code contains a syntax error which prevents it from making a successful API call to the Q Developer CLI. To mitigate this issue, users should upgrade to version v1.85.0. All installations of v1.84.0 should be removed from use.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
内嵌的恶意代码
来源:美国国家漏洞数据库 NVD
漏洞标题
Amazon Q Developer Visual Studio Code extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Amazon Q Developer Visual Studio Code extension是美国亚马逊(Amazon)公司的一款VS Code中的扩展。 Amazon Q Developer Visual Studio Code extension v1.84.0版本存在安全漏洞,该漏洞源于注入代码语法错误导致API调用失败。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-8217 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-8217 的情报信息

  • 标题: Security Update for Amazon Q Developer Extension for Visual Studio Code (Version #1.84) -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    Security Update for Amazon Q Developer Extension for Visual Studio Code (Version #1.84)

  • 标题: Malicious script injected into Amazon Q Developer for Visual Studio Code (VS Code) Extension · Advisory · aws/aws-toolkit-vscode · GitHub -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Malicious script injected into Amazon Q Developer for Visual Studio Code (VS Code) Extension · Advisory · aws/aws-toolkit-vscode · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-8217
四、漏洞 CVE-2025-8217 的评论

暂无评论

发表评论