Дослідники виявили вразливості з високим та критичним рівнем небезпеки в популярних розширеннях Visual Studio Code, які сумарно завантажили понад 128 мільйонів разів. Ці проблеми безпеки дозволяють зловмисникам викрадати локальні файли та виконувати код віддалено на комп’ютерах розробників.
Уразливості впливають на розширення Code Runner (CVE-2025-65715), Markdown Preview Enhanced (CVE-2025-65716, CVE-2025-65717) та Microsoft Live Preview (ідентифікатор не присвоєно). Команда безпеки Ox Security намагалася повідомити про проблеми з червня 2025 року, але жоден з підтримувачів не відповів.
Віддалене виконання коду через популярні розширення
Розширення VSCode працюють зі значним доступом до локального середовища розробки, включно з файлами, терміналами та мережевими ресурсами. Ox Security опублікувала звіти про кожну вразливість і попередила, що використання уражених розширень може призвести до латерального руху в корпоративній мережі, витоку даних та захоплення систем.
Критична вразливість CVE-2025-65717 в розширенні Live Server (понад 72 мільйони завантажень у VSCode) дозволяє зловмисникам викрадати локальні файли, перенаправивши жертву на шкідливу веб-сторінку. Вразливість CVE-2025-65715 в Code Runner (37 мільйонів завантажень) дозволяє віддалене виконання коду через зміну конфігураційного файлу розширення. Це можна здійснити, змусивши ціль вставити шкідливий фрагмент конфігурації в глобальний файл settings.json.
XSS та доступ до конфіденційних даних
Вразливість CVE-2025-65716 з високим рівнем небезпеки 8.8 впливає на Markdown Preview Enhanced (8.5 мільйонів завантажень) і може використовуватися для виконання JavaScript через спеціально створений Markdown-файл. Дослідники також виявили one-click XSS вразливість у версіях Microsoft Live Preview до 0.4.16, яку можна експлуатувати для доступу до конфіденційних файлів на машині розробника. Це розширення має понад 11 мільйонів завантажень.
Вразливості також стосуються Cursor та Windsurf — AI-powered IDE, сумісних з VSCode. Звіт Ox Security підкреслює, що ризики від експлуатації цих проблем включають pivoting в мережі та крадіжку конфіденційних даних, таких як API-ключі та конфігураційні файли.
Рекомендації з безпеки для розробників
Розробникам радять уникати запуску localhost-серверів без необхідності, відкриття недовіреного HTML під час їх роботи та застосування недовірених конфігурацій або вставки фрагментів коду в settings.json. Також рекомендується видалити непотрібні розширення та встановлювати лише ті, що походять від надійних видавців.
Важливо моніторити несподівані зміни налаштувань та регулярно перевіряти встановлені розширення на предмет відомих вразливостей. Ці базові заходи безпеки можуть значно знизити ризики компрометації середовища розробки.
