Eksploitasi 'Open Sesame': Celah Fatal Open VSX Izinkan Ekstensi Berbahaya Lolos Sensor
Baca dalam 60 detik
- Bug "Open Sesame" pada Open VSX memungkinkan ekstensi berbahaya melewati pemindaian keamanan akibat kesalahan logika nilai boolean pada sistem pipeline.
- Penyerang mengeksploitasi celah ini dengan membanjiri koneksi database hingga sistem pemindaian gagal beroperasi, yang secara otomatis justru memvalidasi publikasi ekstensi.
- Tim Open VSX telah menutup celah ini per 11 Februari 2026; pengguna disarankan meninjau ulang ekstensi yang diinstal sebelum tanggal pembaruan tersebut.
Sebuah kerentanan keamanan kritis berlabel "Open Sesame" ditemukan pada Open VSX, marketplace ekstensi yang menjadi tulang punggung editor populer seperti Cursor, Windsurf, dan ekosistem VS Code. Celah ini memungkinkan penyerang mengunggah ekstensi berbahaya yang secara otomatis mendapatkan status "PASSED" tanpa melalui proses pemindaian keamanan akibat kegagalan logika pada sistem pipeline terbaru.
Insiden ini menyoroti risiko teknis pada sistem pre-publish scanning yang baru saja diperkenalkan oleh Open VSX. Awalnya, pipeline ini dirancang sebagai lapisan pertahanan untuk mendeteksi malware, kebocoran hardcoded secrets, hingga praktik name-squatting. Namun, analis dari Koi menemukan bahwa sistem pertahanan tersebut justru memiliki titik lemah fatal pada penanganan status galat (error handling) di dalam kode sumbernya.
- Root Cause: Penggunaan nilai boolean tunggal yang bermakna ganda antara "tidak ada scanner terkonfigurasi" dan "gagal menjalankan seluruh scanner".
- Metode Eksploitasi: Menjenuhkan (flooding) publish endpoint untuk menghabiskan database connection pool.
- Efek Kegagalan: Sistem gagal mengantrekan tugas pemindaian, namun tetap mengaktifkan ekstensi untuk publik seolah-olah telah lolos sensor.
- Lokasi Celah: Ditemukan pada berkas ExtensionScanService.java dan PublishExtensionVersionHandler.java.
Secara teknis, serangan ini tidak memerlukan akses khusus atau akun berbayar. Penyerang cukup membombardir sistem dengan permintaan unggah massal. Beban trafik yang ekstrem menyebabkan kegagalan koneksi database yang membuat proses pemindaian terhenti. Tragisnya, sistem interpretasi Open VSX menganggap kegagalan proses ini sebagai kondisi aman, sehingga langsung memanggil fungsi markScanPassed() dan mempublikasikan ekstensi tersebut secara instan.
Celah ini dilaporkan secara bertanggung jawab pada 8 Februari 2026, dan tim Open VSX bergerak cepat dengan merilis perbaikan hanya dalam waktu tiga hari, tepatnya pada 11 Februari 2026. Meskipun patch telah diterapkan, para pengembang yang mengunduh atau memperbarui ekstensi sebelum tanggal perbaikan sangat disarankan untuk melakukan audit mandiri terhadap tools yang mereka gunakan guna memastikan tidak ada kode berbahaya yang terlanjur terpasang.
Ke depannya, insiden ini menjadi pelajaran berharga bagi pengembang infrastruktur marketplace untuk menerapkan rate limiting yang ketat dan memastikan pemisahan logika antara status konfigurasi dengan status kegagalan sistem. Transparansi dalam proses pemindaian kini menjadi tuntutan utama komunitas demi menjaga integritas ekosistem perangkat lunak sumber terbuka.
