- Исследователи из OX Security выявили критические уязвимости в популярных расширениях для Visual Studio Code, суммарно установленных более 125 млн раз.
- Уязвимости позволяют злоумышленникам похищать локальные файлы, выполнять произвольный код и использовать IDE как точку входа в корпоративные сети.
- Только Microsoft оперативно исправила ошибку в своём расширении Live Preview, тогда как другие разработчики не отреагировали на сообщения об угрозах.
Эксперты из компании OX Security обнаружили несколько серьёзных уязвимостей в широко используемых расширениях для популярного редактора Visual Studio Code. Обнаруженные проблемы затрагивают такие плагины, как Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview, которые вместе на момент исследования были установлены более 125 миллионов раз.
Наиболее критическая уязвимость (CVE-2025-65717) в расширении Live Server позволяет удалённо извлекать файлы с компьютера пользователя. Это расширение имеет внушительный охват — около 72 миллионов загрузок. В Code Runner (CVE-2025-65715) выявлена возможность удалённого выполнения произвольного кода, что также представляет серьёзную угрозу безопасности и затрагивает 37 миллионов установок. Аналогично, в Markdown Preview Enhanced (CVE-2025-65716) можно запустить JavaScript-код с последующим сканированием локальных портов и возможной утечкой данных, а в Microsoft Live Preview выявлена уязвимость типа XSS, позволяющая получить полный доступ к файлам IDE и выгрузить их.
Исследователи подчёркивают, что уведомили всех разработчиков ещё в конце лета 2025 года, однако к февралю 2026-го устранить угрозу смогла лишь Microsoft в своём плагине Live Preview. Другие мейнтейнеры не отреагировали на обращения, несмотря на многочисленные попытки связаться через электронную почту, GitHub и социальные сети.
В целях минимизации рисков эксперты рекомендуют пользователям не открывать подозрительные HTML-файлы во время работы локальных серверов, не копировать настройки из ненадёжных источников, а также отключать или удалять неиспользуемые расширения в VS Code. Кроме того, стоит ограничить доступ к локальным сервисам с помощью файрвола.
В своей аналитике исследователи отмечают, что найденные уязвимости — лишь часть системной проблемы безопасности расширений редакторов кода, и предлагают внедрить обязательные процедуры проверки безопасности перед публикацией таких плагинов, аналогичные механизмам, применяемым в мобильных магазинах приложений.
