文章总结： 已停止维护的SpringCLIVSCode扩展存在命令注入漏洞CVE-2026-22718，CVSS评分为6.6。攻击者可通过恶意项目执行任意系统命令。由于该工具已停止支持且无补丁，官方建议用户立即卸载该扩展以确保开发环境安全，并提醒开发者定期审查移除未维护的插件。 综合评分： 70 文章分类： 漏洞预警,安全工具,终端安全

CVE-2026-22718：已停止维护的 Spring CLI 工具（适用于 VS Code）被发现存在命令注入漏洞

sec随谈

sec随谈

2026年1月14日 08:49 北京

使用 Visual Studio Code 的 Spring CLI 扩展的开发者被敦促立即清理他们的开发环境。该扩展程序现已停止维护，但其中发现了一个新的漏洞（编号为 CVE-2026-22718），恶意攻击者可以利用该漏洞在用户计算机上执行任意命令。

该漏洞的 CVSS 评分为 6.6，属于命令注入漏洞。此类漏洞通常允许攻击者篡改输入，强制应用程序执行其原本不应执行的系统级命令。

对于像 VS Code 扩展这样的开发者工具来说，这一点尤其令人担忧。这意味着仅仅使用该扩展——例如打开恶意项目或与精心构造的文件交互——就可能使攻击者能够在开发者的笔记本电脑上以与用户相同的权限运行代码。

该公告承认在工具退役方面存在沟通不足。“该工具的延期期限已于2025年5月14日到期，但在收到CVE（漏洞报告）后，我们意识到我们本可以更好地传达退役信息，”公告指出。

“因此，出于谨慎考虑，尽管该扩展程序已停止维护，但我们仍然为其创建了一个 CVE 编号。”

该漏洞影响 Spring CLI VSCode 扩展 0.9.0 及更早版本。由于该产品已停止支持，因此不会发布补丁。

“该扩展程序的用户应将其从编码环境中移除，”安全公告警告说。由于目前尚无修复方案，确保开发环境安全的唯一方法就是彻底卸载该扩展程序。

该漏洞由安全研究员刘岳负责任地报告，他发现了遗留代码中的风险。我们提醒开发者定期审核已安装的扩展程序，并移除任何不再维护或支持的扩展程序。

参考链接：

https://spring.io/security/cve-2026-22718

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《CVE-2026-22718：已停止维护的 Spring CLI 工具（适用于 VS Code）被发现存在命令注入漏洞》