文章总结： SpringCLIVSCode扩展存在命令注入漏洞CVE-2026-22718，影响0.9.0及以下版本。攻击者需本地访问权限诱导用户执行恶意命令，从而执行任意Shell操作。因组件已EOL无补丁，官方建议立即卸载该扩展，并审计CI/CD流水线以规避风险。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,应急响应

Spring CLI 存在允许攻击者在用户系统上执行命令漏洞

网安百色

2026年1月15日 19:47 广西

Spring CLI VSCode扩展存在命令注入漏洞，攻击者可利用该漏洞在目标系统上执行任意命令。该漏洞被追踪为CVE-2026-22718，影响所有0.9.0及更早版本（均已结束生命周期）。

| 漏洞编号 | CVE-2026-22718 | | — | — | | 组件名称 | Spring CLI VSCode扩展 | | 漏洞类型 | 命令注入（Command Injection） | | CVSS评分 | 6.8（AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L） | | 严重等级 | Medium | | 攻击条件 | 本地访问 + 用户交互 | | 影响范围 | 所有0.9.0及更早版本 |

1. 漏洞原理

攻击者通过以下方式触发漏洞：

1. 诱导开发者在VSCode中执行恶意构造的Spring CLI命令
2. 利用扩展未正确过滤特殊字符（如;、&、|）的缺陷
3. 在目标系统上执行任意Shell命令

2. 攻击场景

• 初始访问：需已具备本地系统访问权限（如共享开发环境）
• 漏洞利用：通过诱导用户执行特制命令（如spring init --dependencies=web;rm -rf /）
• 执行权限：继承当前用户权限（通常为开发者账户）
• 持久化：修改.bashrc或VSCode扩展配置文件实现后门植入

受影响版本及修复方案

官方声明：

该扩展已于2025年5月14日结束生命周期（EOL），不再提供安全更新。Spring团队仍为此漏洞分配CVE编号，旨在提醒用户及时移除旧版工具。

| 扩展版本 | 修复建议 | | — | — | | ≤ 0.9.0 | 立即卸载（无可用补丁） |

防御建议

• 强制卸载：通过配置管理工具（如Ansible、SCCM）批量移除扩展
• 环境审计：检查CI/CD流水线中的VSCode镜像是否包含该扩展
• 权限管控：限制开发人员对系统级配置文件的修改权限

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《Spring CLI 存在允许攻击者在用户系统上执行命令漏洞》