SECURITY·중요도 8·2026. 06. 03.·GeekNews
VSCode 버그를 통한 1-클릭 GitHub 토큰 탈취
── KO ──────────────────
VSCode의 버그로 GitHub 토큰 탈취 위험이 발생했다.
VSCode의 웹버전에서 GitHub OAuth 토큰이 제대로 제한되지 않아 모든 저장소에 접근할 수 있는 위험이 존재한다. 이는 사용자의 브라우저에서 파일 열람, PR 및 커밋을 가능하게 한다. 특히, VSCode의 웹뷰가 적절히 격리되지 않는 점이 문제로 지적된다.
── EN ──────────────────
A vulnerability in VSCode allows for the theft of GitHub tokens.
A bug in the web version of VSCode exposes GitHub OAuth tokens that are not restricted to specific repositories. This vulnerability allows users to read and write to all repositories they can access. Additionally, the issue is compounded by the inadequate isolation of VSCode's webview.