Проблемы безопасности затрагивают расширения Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717), а также Microsoft Live Preview (без присвоенного идентификатора CVE).

Уязвимости были выявлены исследователями компании Ox Security, специализирующейся на безопасности приложений. По их словам, попытки уведомить разработчиков расширений предпринимались с июня 2025 года, однако ответа от мейнтейнеров получено не было.

Удалённое выполнение кода в среде разработки

Расширения VSCode — это дополнения, расширяющие возможности интегрированной среды разработки (IDE) от Microsoft. Они добавляют поддержку языков программирования, инструменты отладки, темы оформления и другие функции.

При этом такие расширения обладают широкими правами доступа к локальной среде разработки, включая файлы, терминал и сетевые ресурсы.

Ox Security опубликовала отдельные отчёты по каждой из обнаруженных уязвимостей и предупредила, что использование уязвимых расширений может привести к горизонтальному перемещению злоумышленника внутри корпоративной сети, утечке данных и даже захвату системы.

Критическая уязвимость CVE-2025-65717 в расширении Live Server (более 72 миллионов загрузок) позволяет злоумышленнику похитить локальные файлы, если пользователь перейдёт на специально подготовленную вредоносную веб-страницу.

Уязвимость CVE-2025-65715 в расширении Code Runner (37 миллионов загрузок) даёт возможность удалённого выполнения кода путём изменения конфигурационного файла расширения. Для этого злоумышленник может убедить жертву вставить вредоносный фрагмент конфигурации в глобальный файл settings.json.

Уязвимость CVE-2025-65716 с высоким уровнем опасности (оценка 8.8) затрагивает Markdown Preview Enhanced (8,5 миллиона загрузок). Она позволяет выполнить JavaScript-код через специально созданный вредоносный Markdown-файл.

Кроме того, исследователи обнаружили XSS-уязвимость «в один клик» в версиях Microsoft Live Preview до 0.4.16. Эксплуатация этой проблемы может предоставить доступ к конфиденциальным файлам на компьютере разработчика. Расширение было загружено более 11 миллионов раз.

Уязвимые расширения также используются в альтернативных IDE, совместимых с VSCode, включая Cursor и Windsurf, которые ориентированы на ИИ-функциональность.

В отчёте Ox Security подчёркивается, что злоумышленники могут использовать данные уязвимости для дальнейшего продвижения по сети, а также для кражи чувствительной информации, включая API-ключи и конфигурационные файлы.

Разработчикам рекомендуется:

• не запускать локальные серверы без необходимости;
• не открывать недоверенные HTML-файлы во время их работы;
• не применять неизвестные конфигурации и не вставлять сомнительные фрагменты в settings.json;
• удалять ненужные расширения и устанавливать только решения от проверенных издателей;
• отслеживать неожиданные изменения в настройках среды разработки.