发布日期：2026-02-09
更新日期：2026-04-07

受影响系统：

Street Side Software vscode-spell-checker < v4.5.4

描述：

---

CVE(CAN) ID: CVE-2026-25931

vscode-spell-checker是Street Side Software开源的一款基础拼写检查器，适用于代码和文档。
vscode-spell-checker v4.5.4之前版本存在默认权限错误漏洞，该漏洞源于DocumentSettings._determineIsTrusted将配置值cSpell.trustedWorkspace作为权威信任标志，该值默认为true，并在每次获取设置时从工作区配置中读取，代码会将任何真值强制转换为true，并将其传递给ConfigLoader.setIsTrusted，导致不受信任的工作区可加载并执行恶意的JavaScript/TypeScript配置文件，攻击者可利用该漏洞以用户权限执行任意代码。

<**>

建议：

---

厂商补丁：

Street Side Software
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/streetsidesoftware/vscode-spell-checker/releases/tag/code-spell-checker-v4.5.4

浏览次数：89
严重程度：0（网友投票）