Cercetătorii în securitate cibernetică au divulgat trei vulnerabilități critice în extensii populare Visual Studio Code care au fost descărcate în total de peste 128 de milioane de ori, lăsând milioane de medii de dezvoltare vulnerabile la furtul de fișiere și execuția de cod la distanță.
Cercetătorii de la OX Security, Moshe Siman Tov Bustan și Nir Zadok, au publicat pe 17 februarie rapoarte detaliate avertizând că responsabilii extensiilor nu au răspuns la încercările de divulgare responsabilă care datează încă din iunie 2025, iar vulnerabilitățile rămân necorijate.
Vulnerabilități neactualizate permit preluarea controlului sistemului
Extensiile afectate sunt Live Server (72 de milioane de descărcări), Code Runner (37 de milioane de descărcări), Markdown Preview Enhanced (8,5 milioane de descărcări) și Microsoft Live Preview (11 milioane de descărcări).
Cea mai gravă vulnerabilitate, CVE-2025-65717, are un scor critic CVSS de 9,1 și afectează extensia Live Server. Aceasta permite atacatorilor să exfiltreze fișiere locale prin păcălirea unui dezvoltator să viziteze un site web malicios în timp ce extensia rulează, permițând JavaScript-ului încorporat în pagină să scaneze și să extragă fișiere de pe serverul localhost.
CVE-2025-65716 afectează Markdown Preview Enhanced cu un scor de severitate ridicată de 8,8, permițând atacatorilor să execute cod JavaScript arbitrar prin încărcarea unui fișier markdown conceput special. CVE-2025-65715 din Code Runner permite execuția de cod la distanță prin convingerea utilizatorilor să modifice fișierul de configurare “settings.json” prin phishing sau inginerie socială.
“Cercetarea noastră demonstrează că un hacker are nevoie doar de o singură extensie malițioasă, sau de o singură vulnerabilitate într-o extensie, pentru a efectua mișcări laterale și a compromite organizații întregi”, au scris cercetătorii de la OX Security.
Microsoft a corectat discret propria extensie
Microsoft a remediat în tăcere o vulnerabilitate similară XSS la un singur clic în extensia sa Live Preview în septembrie 2025, fără să emită un CVE sau o recunoaștere publică. Vulnerabilitatea, descoperită de OX Security, putea fi exploatată pentru a accesa fișiere sensibile de pe computerul unui dezvoltator. Compania a lansat versiunea 0.4.16 care conține remediul, dar dezvoltatorii care folosesc versiuni mai vechi rămân în pericol.
Vulnerabilitățile afectează, de asemenea, editorii de cod bazați pe inteligență artificială Cursor și Windsurf, care sunt compatibili cu extensiile VS Code. Acest lucru extinde suprafața de atac dincolo de IDE-ul Microsoft către categoria emergentă a mediilor de dezvoltare asistate de inteligență artificială.
Dezvoltatorii sfătuiți să ia măsuri imediate
OX Security recomandă dezvoltatorilor să evite rularea serverelor localhost decât dacă este necesar, să se abțină de la deschiderea fișierelor HTML nesigure în timp ce extensiile rulează și să elimine extensiile inutile din mediile lor de lucru.
„Păstrarea extensiilor vulnerabile instalate pe o mașină reprezintă o amenințare imediată pentru postura de securitate a unei organizații”, au avertizat cercetătorii. „Poate fi nevoie doar de un singur clic sau de un repository descărcat pentru a compromite totul”.
Surse:
https://thehackernews.com/2026/02/critical-flaws-found-in-four-vs-code.html