CVE-2026-40376
Alvorlig

CVE-2026-40376: Alvorlig sårbarhed i Visual Studio Code

Sårbarhed i Visual Studio Code kan give angribere fuld kontrol over din computer via netværket – opdater straks til version 1.123.2.

CVSS Score
7.5
Offentliggjort
09/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

Visual Studio Code er et populært programmeringsværktøj fra Microsoft, som mange udviklere og it-medarbejdere bruger dagligt. En fejl i programmet betyder, at det ikke tjekker brugerinput ordentligt (det vil sige data, der sendes til programmet). Det kan en angriber udnytte til at opnå flere rettigheder (adgang) på din computer end vedkommende burde have. Fejltypen hedder CWE-20 og kaldes ‘improper input validation’ – på dansk: mangelfuld validering af input. Alle versioner af Visual Studio Code fra 1.0.0 op til – men ikke inklusiv – version 1.123.2 er ramt.

Hvem rammer det?

Sårbarheden rammer virksomheder og enkeltpersoner, der bruger Visual Studio Code version 1.0.0 til og med 1.123.1. Det er særligt relevant, hvis dine udviklere, it-folk eller andre medarbejdere bruger programmet på arbejdscomputere med adgang til virksomhedens netværk. Da Visual Studio Code er meget udbredt – også i SMV’er – er der potentielt mange, der er i risikozonen.

Hvad kan ske?

En angriber kan over netværket udnytte fejlen til at eskalere sine rettigheder (privilege escalation), hvilket betyder, at vedkommende kan få administratoradgang til den computer, der kører Visual Studio Code. Med den adgang kan angriberen:

  • Læse og stjæle følsomme filer og data (fortrolighed kompromitteret)
  • Ændre, slette eller kryptere filer og systemer (integritet kompromitteret)
  • Gøre computeren eller systemer utilgængelige for dig (tilgængelighed kompromitteret)
  • Bevæge sig videre ind i resten af virksomhedens netværk

Angrebet kræver, at en bruger interagerer – for eksempel åbner en fil eller klikker et link – men kræver ikke, at angriberen har adgang til dit system i forvejen.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.5 ud af 10 og klassificeres som Alvorlig (High). Angrebet sker over netværket og kræver ikke, at angriberen er fysisk til stede eller har en konto på systemet. Der kræves dog brugerinteraktion og en vis teknisk kompleksitet for at gennemføre angrebet, hvilket sænker risikoen en smule sammenlignet med det absolutte maksimum. Konsekvenserne – fuld kontrol over systemets fortrolighed, integritet og tilgængelighed – er dog maksimale, hvis angrebet lykkes.

Hvad gør jeg nu?

Du bør opdatere Visual Studio Code hurtigst muligt. Sådan gør du:

  1. Identificér berørte installationer: Bed din it-ansvarlige om at kortlægge, hvilke medarbejdere der bruger Visual Studio Code, og hvilken version de kører. Tjek versionen via menuen Hjælp → Om i programmet.
  2. Opdatér til version 1.123.2 eller nyere: Åbn Visual Studio Code, gå til Hjælp → Søg efter opdateringer, og installér den nyeste version. Alternativt kan opdateringen hentes direkte fra code.visualstudio.com.
  3. Genstart programmet: Sørg for, at opdateringen træder i kraft ved at genstarte Visual Studio Code efter installation.
  4. Informér dine medarbejdere: Giv besked til alle, der bruger programmet, om at opdatere – også dem, der arbejder hjemmefra eller på bærbare computere uden for kontoret.
  5. Overvej midlertidig begrænsning: Hvis opdatering ikke kan ske straks, bør du overveje at begrænse brugen af Visual Studio Code til opdatering er gennemført, særligt på systemer med adgang til følsomme data.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du prioriterer opdateringen af Visual Studio Code til version 1.123.2 på alle arbejdsstationer i din virksomhed – herunder hjemmearbejdspladser. Angrebet kræver brugerinteraktion, men da udviklere og it-folk dagligt åbner filer og klikker links som en naturlig del af arbejdet, er risikoen reel. Sørg desuden for, at automatisk opdatering er slået til i Visual Studio Code fremover, så lignende sårbarheder håndteres hurtigere.

Tidslinje

09/06/2026
CVE offentliggjort
Microsoft og NVD offentliggør CVE-2026-40376 og advarer om den alvorlige sårbarhed i Visual Studio Code. Patch i form af version 1.123.2 stilles tilgængeligt.
09/06/2026
Patch frigivet
Microsoft udgiver Visual Studio Code version 1.123.2, der lukker sårbarheden. Opdateringen er tilgængelig via programmets indbyggede opdateringsfunktion og på code.visualstudio.com.
10/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere bekræfter, at teknisk dokumentation og proof-of-concept-kode cirkulerer i sikkerhedsmiljøet, hvilket øger risikoen for aktiv udnyttelse.
16/06/2026
Anbefalet opdateringsfrist
Auroa anbefaler, at alle berørte virksomheder har gennemført opdatering senest denne dato for at minimere risikoen for udnyttelse.

Konkrete eksempler

Ondsindet projektfil sendt via e-mail

En angriber sender en tilsyneladende harmløs kode-projektfil til en udvikler i din virksomhed. Når udvikleren åbner filen i Visual Studio Code, udnytter filen input-valideringsfejlen til at give angriberen administratorrettigheder på computeren. Angriberen kan nu læse fortrolige filer, installere bagdøre og bevæge sig videre i netværket.

Kompromitteret kode-repository (kodelager)

En angriber kompromitterer et offentligt eller privat kode-repository (f.eks. GitHub), som dine udviklere bruger. Når de henter koden ned og åbner den i Visual Studio Code, aktiveres den ondsindede input, der eskalerer angriberens rettigheder til administratorniveau. Det kan ske uden, at udvikleren bemærker noget usædvanligt.

Angreb via delt netværksdrev

En angriber, der allerede har begrænset adgang til virksomhedens netværk – for eksempel via en kompromitteret gæste-WiFi – placerer en ondsindet fil på et delt netværksdrev. Når en medarbejder åbner filen i Visual Studio Code, udnytter angrebet sårbarheden og giver angriberen fuld kontrol over medarbejderens computer og potentielt hele netværket.

Ofte stillede spørgsmål

Ramte produkter

Microsoft — Visual Studio Code

≥ 1.0.0, < 1.123.2

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-20

Original NVD-beskrivelse (engelsk)

Improper input validation in Visual Studio Code allows an unauthorized attacker to elevate privileges over a network.

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-40376
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.