Apa yang terjadi
Microsoft mengungkapkan CVE-2026-40376 pada 9 Juni 2026 sebagai bagian dari Patch Tuesday, diperbaiki dalam VS Code 1.119.1. Validasi input yang tidak tepat dalam integrasi Model Context Protocol (MCP) server Visual Studio Code memungkinkan penyerang jaringan yang tidak terautentikasi — dengan interaksi pengguna — untuk mendapatkan izin yang terkait dengan identitas terkelola MCP Server. Skor dasar CVSS 3.1 adalah 7.5 (AV:N/AC:H/PR:N/UI:R). Microsoft menilai eksploitasi kemungkinan kecil; tidak ada exploit publik atau eksploitasi di alam liar yang dilaporkan saat pengungkapan.
Mengapa penting
VS Code adalah IDE dominan untuk pengembang AI dan semakin digunakan sebagai perantara antara pengembang, agen pengkodean AI (GitHub Copilot, ekstensi Claude Code, Cursor), identitas cloud, dan server alat MCP. Identitas terkelola mewakili radius ledakan terkonsentrasi — ini memberikan akses ke sumber daya cloud (Azure, GCP, AWS) yang dibatasi pada server MCP tanpa memerlukan kredensial tersimpan. Seorang penyerang yang memperoleh izin identitas terkelola dapat membaca rahasia, memanggil layanan AI cloud, mengakses basis data vektor, atau berporos ke infrastruktur beban kerja AI. Ini adalah kerentanan permukaan MCP langsung di lingkungan pengembangan AI yang paling banyak digunakan di dunia.
Vektor serangan
Serangan yang dapat dicapai jaringan tanpa memerlukan privilege sebelumnya tetapi memerlukan interaksi pengguna; mengeksploitasi validasi input yang tidak tepat di batas server MCP untuk menyamar atau mewarisi identitas terkelola yang ditugaskan ke proses MCP Server
Sistem yang terdampak
Microsoft Visual Studio Code < 1.119.1 (semua platform: Windows, macOS, Linux) ketika integrasi MCP Server dengan identitas terkelola dikonfigurasi
Mitigasi
Perbarui VS Code ke versi 1.119.1 atau lebih baru. Audit semua integrasi MCP Server dan tinjau penugasan cakupan identitas terkelola — terapkan least-privilege ke identitas server MCP. Pemberitahuan MSRC: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40376