Уязвимости высокого и критического уровня, затрагивающие популярные расширения Visual Studio Code (VSCode), суммарно загруженные более 128 миллионов раз, могут быть использованы для кражи локальных файлов и удаленного выполнения кода.
Проблемы безопасности затрагивают Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) и Microsoft Live Preview (идентификатор не присвоен).
Исследователи из компании Ox Security, специализирующейся на безопасности приложений, обнаружили эти уязвимости и пытались раскрыть их с июня 2025 года. Однако, по словам исследователей, ни один из сопровождающих не ответил.
Удаленное выполнение кода в IDE
Расширения VSCode — это надстройки, расширяющие функциональность интегрированной среды разработки (IDE) Microsoft. Они могут добавлять поддержку языков, инструменты отладки, темы и другую функциональность или опции настройки.
Они работают с существенным доступом к локальной среде разработки, включая файлы, терминалы и сетевые ресурсы.
Ox Security опубликовала отчеты по каждой из обнаруженных уязвимостей и предупредила, что использование уязвимых расширений может подвергнуть корпоративную среду риску бокового перемещения, эксфильтрации данных и захвата системы.
Злоумышленник, используя критическую уязвимость CVE-2025-65717 в расширении Live Server (более 72 миллионов загрузок в VSCode), может украсть локальные файлы, направив жертву на вредоносную веб-страницу.
Уязвимость CVE-2025-65715 в расширении Code Runner для VSCode (37 миллионов загрузок) позволяет удаленно выполнять код путем изменения файла конфигурации расширения. Это может быть достигнуто путем обмана жертвы, чтобы она вставила или применила вредоносный фрагмент конфигурации в глобальный файл settings.json.
Уязвимость CVE-2025-65716, оцененная как 8.8 (высокая степень серьезности), затрагивает Markdown Preview Enhanced (8.5 миллиона загрузок) и может быть использована для выполнения JavaScript через специально созданный Markdown-файл.
Исследователи Ox Security обнаружили уязвимость XSS одним кликом в версиях Microsoft Live Preview до 0.4.16. Ее можно использовать для доступа к конфиденциальным файлам на компьютере разработчика. Расширение имеет более 11 миллионов загрузок в VSCode.
Уязвимости в расширениях также применимы к Cursor и Windsurf — альтернативным IDE на базе ИИ, совместимым с VSCode.
В отчете Ox Security подчеркивается, что риски, связанные с использованием этих проблем злоумышленниками, включают сетевое перемещение и кражу конфиденциальных данных, таких как ключи API и файлы конфигурации.
Разработчикам рекомендуется избегать запуска локальных серверов без необходимости, не открывать недоверенные HTML-файлы во время их работы, а также не применять недоверенные конфигурации и не вставлять фрагменты кода в settings.json.
Кроме того, рекомендуется удалять ненужные расширения, устанавливать только те, что от надежных издателей, и отслеживать неожиданные изменения настроек.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
