◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-15

Elevasi Hak Istimewa Identitas Terkelola VS Code MCP Server (CVE-2026-40376)

KerentananHigh dampakGlobalCVE-2026-40376
Apa yang terjadi
Microsoft mengungkapkan CVE-2026-40376 pada 9 Juni 2026 sebagai bagian dari Patch Tuesday, diperbaiki dalam VS Code 1.119.1. Validasi input yang tidak tepat dalam integrasi Model Context Protocol (MCP) server Visual Studio Code memungkinkan penyerang jaringan yang tidak terautentikasi — dengan interaksi pengguna — untuk mendapatkan izin yang terkait dengan identitas terkelola MCP Server. Skor dasar CVSS 3.1 adalah 7.5 (AV:N/AC:H/PR:N/UI:R). Microsoft menilai eksploitasi sebagai kemungkinan lebih rendah; tidak ada exploit publik atau eksploitasi di lapangan yang dilaporkan pada saat pengungkapan.
Mengapa penting
VS Code adalah IDE dominan untuk pengembang AI dan semakin digunakan sebagai broker antara pengembang, agen pengodean AI (GitHub Copilot, ekstensi Claude Code, Cursor), identitas cloud, dan server alat MCP. Identitas terkelola mewakili radius ledakan yang terkonsentrasi — memberikan akses ke sumber daya cloud (Azure, GCP, AWS) yang dibatasi pada server MCP tanpa memerlukan kredensial yang disimpan. Penyerang yang memperoleh izin identitas terkelola dapat membaca rahasia, memanggil layanan cloud AI, mengakses basis data vektor, atau berporos ke infrastruktur beban kerja AI. Ini adalah kerentanan permukaan MCP langsung di lingkungan pengembangan AI yang paling banyak digunakan di dunia.
Vektor serangan
Serangan yang dapat dicapai jaringan tanpa memerlukan hak istimewa sebelumnya tetapi memerlukan interaksi pengguna; mengeksploitasi validasi input yang tidak tepat di batas server MCP untuk menyamar atau mewarisi identitas terkelola yang ditetapkan untuk proses MCP Server
Sistem yang terdampak
Microsoft Visual Studio Code < 1.119.1 (semua platform: Windows, macOS, Linux) ketika integrasi MCP Server dengan identitas terkelola dikonfigurasi
Mitigasi
Perbarui VS Code ke versi 1.119.1 atau lebih baru. Audit semua integrasi MCP Server dan tinjau penetapan ruang lingkup identitas terkelola — terapkan least-privilege ke identitas server MCP. Pemberitahuan MSRC: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40376
Sumber
Microsoft MSRC Advisory CVE-2026-40376 (Jun 9, 2026)Windows Forum — VS Code CVE-2026-40376 deep-diveMondoo Vulnerability Intelligence VSCODE-2026-06-09
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →