23 lines
928 B
Plaintext
23 lines
928 B
Plaintext
# AUDIT SÉCURITÉ — vscodestat — 2026-06-21
|
|
# Stack: extension VS Code (TypeScript) de télémétrie. Émet des events (open/save/focus/ping)
|
|
# en POST vers une URL configurée (vscodestat.url, pointée sur monitoringserver via env). Pas de
|
|
# serveur, tourne dans l'IDE de l'utilisateur. gitleaks: no leaks found.
|
|
# Méthode: revue de code statique.
|
|
|
|
## 🔴 CRITIQUE (exploitable à distance / fuite de données / RCE)
|
|
RAS
|
|
|
|
## 🟠 ÉLEVÉ
|
|
RAS
|
|
|
|
## 🟡 MOYEN
|
|
RAS
|
|
|
|
## 🔵 DURCISSEMENT (faible)
|
|
[ ] makeHttpRequest POST vers vscode.workspace.getConfiguration('vscodestat.url') sans
|
|
validation de protocole/host (src/extension.ts). L'URL est posée par l'opérateur (settings /
|
|
env VSCODESTAT_USER dans l'entrypoint vscode), pas par un tiers → pas exploitable. À noter :
|
|
n'envoie que des métadonnées (nom de projet, event), pas de contenu de fichier.
|
|
|
|
# Audit OK — aucun finding exploitable le 2026-06-21
|