Уязвимости с высоким или критическим уровнем опасности, затрагивающие популярные расширения Visual Studio Code (VSCode), которые в общей сложности были скачаны более 128 миллионов раз, могут быть использованы для кражи локальных файлов и удаленного выполнения кода.
Проблемы с безопасностью затрагивают Code Runner (CVE-2025-65715), Markdown Preview Enhanced (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) и Microsoft Live Preview (идентификатор не присвоен).
Исследователи из компании Ox Security, специализирующейся на безопасности приложений, обнаружили уязвимости и пытались сообщить о них с июня 2025 года. Однако, по словам исследователей, ни один из разработчиков не ответил.
Удаленное выполнение кода в IDE
Расширения VSCode — это надстройки, расширяющие функциональность интегрированной среды разработки (IDE) от Microsoft. Они могут добавлять поддержку языков, инструменты для отладки, темы и другие функции или возможности настройки.
Они имеют широкий доступ к локальной среде разработки, включая файлы, терминалы и сетевые ресурсы.
Ox Security опубликовала отчеты по каждому из обнаруженных уязвимых мест и предупредила, что использование уязвимых расширений может привести к горизонтальному перемещению данных, их утечке и захвату системы.
Злоумышленник использующий критическую уязвимость CVE-2025-65717 в расширении Live Server (более 72 миллионов загрузок в VSCode) может похитить локальные файлы, перенаправив пользователя на вредоносную веб-страницу.
Уязвимость CVE-2025-65715 в расширении Code Runner для VSCode, которое скачали 37 миллионов раз, позволяет удаленно выполнять код путем изменения файла конфигурации расширения. Этого можно добиться, обманом заставив пользователя вставить или применить вредоносный фрагмент конфигурации в глобальном файле settings.json.
CVE-2025-65716, имеющий высокий балл серьезности 8,8, влияет на расширенный просмотр Markdown (8,5 миллионов загрузок) и может быть использован для выполнения JavaScript через вредоносно созданный файл Markdown.
Исследователи из Ox Security обнаружили уязвимость XSS, которую можно устранить одним щелчком мыши в версиях Microsoft Live Preview до 0.4.16. Ее можно использовать для получения доступа к конфиденциальным файлам на компьютере разработчика. Расширение было загружено более 11 миллионов раз.
Недостатки расширений также характерны для Cursor и Windsurf — альтернативных IDE, совместимых с VSCode и использующих искусственный интеллект.
В отчете Ox Security подчеркивается, что риски, связанные с использованием уязвимостей злоумышленниками, включают в себя перехват управления сетью и кражу конфиденциальных данных, таких как ключи API и файлы конфигурации.
Разработчикам рекомендуется по возможности не запускать локальные серверы, не открывать во время их работы ненадежные HTML-страницы, не применять ненадежные конфигурации и не вставлять фрагменты кода в файл settings.json.
Кроме того, рекомендуется удалять ненужные расширения и устанавливать только те, которые выпущены известными разработчиками, а также следить за тем, чтобы не менялись неожиданно настройки.