Изследователи по приложна сигурност разкриха уязвимости с висока до критична степен на риск в широко използвани разширения за Visual Studio Code, които общо са били изтегляни над 128 милиона пъти. Проблемите могат да бъдат експлоатирани за кражба на локални файлове, изпълнение на код от разстояние и пълен компромис на системата на разработчика.

Засегнатите разширения включват Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Уязвимостите са идентифицирани от експерти на Ox Security, които твърдят, че са се опитвали да уведомят поддържащите екипи още от юни 2025 г., но не са получили отговор.

Защо рискът е толкова висок

Разширенията за Microsoft Visual Studio Code разширяват функционалността на средата за разработка – добавят поддръжка за езици, дебъг инструменти, визуализации и автоматизация. Те обаче работят с широки привилегии, включително достъп до:

• локалната файлова система

• терминали и изпълнение на команди

• мрежови ресурси и вътрешни услуги

Това превръща всяка уязвимост в разширение в потенциална входна точка за атака срещу цялата корпоративна среда.

Конкретните уязвимости и как се експлоатират

Изследователите на Ox Security публикуват отделни технически доклади за всеки проблем и предупреждават, че запазването на уязвимите разширения може да доведе до латерално придвижване в мрежата, изтичане на данни и пълен контрол над системата.

Основните сценарии включват:

• Live Server (CVE-2025-65717 – критична):
  Над 72 милиона изтегляния. Атакуващ може да открадне локални файлове, като насочи жертвата към злонамерена уеб страница, заредена чрез разширението.

• Code Runner (CVE-2025-65715):
  Около 37 милиона изтегляния. Позволява отдалечено изпълнение на код чрез манипулиране на конфигурационния файл – например ако разработчикът бъде подмамен да постави злонамерен фрагмент в settings.json.

• Markdown Preview Enhanced (CVE-2025-65716):
  Оценена с 8.8 по CVSS, засягаща разширение с 8.5 милиона изтегляния. Уязвимостта позволява изпълнение на JavaScript чрез специално подготвен Markdown файл.

• Microsoft Live Preview (без CVE, версии преди 0.4.16):
  Открита е one-click XSS уязвимост, позволяваща достъп до чувствителни локални файлове. Разширението има над 11 милиона изтегляния.

Засегнати са и алтернативни IDE с ИИ функции

Проблемите не се ограничават само до Visual Studio Code. Същите уязвимости засягат и Cursor и Windsurf – IDE среди, съвместими с VS Code и обогатени с ИИ функционалности. Това разширява риска към екипи, които използват алтернативни инструменти за разработка, но разчитат на същата екосистема от разширения.

Реалният риск за организациите

Според Ox Security, атакуващ, който успешно експлоатира тези пропуски, може:

• да придобие API ключове и конфигурационни файлове

• да използва машината на разработчика за pivot към вътрешни системи

• да извършва кражба на изходен код и чувствителни данни

• да поеме пълен контрол над разработческата среда

Препоръки към разработчици и екипи по сигурността

Експертите съветват да се предприемат незабавни предпазни мерки:

• Да не се стартират localhost сървъри, освен ако не е абсолютно необходимо

• Да не се отварят недоверени HTML файлове, докато такива сървъри работят

• Да не се прилагат непроверени конфигурации или кодови фрагменти в settings.json

• Да се премахнат ненужните разширения

• Да се инсталират само разширения от утвърдени издатели

• Да се следи за неочаквани промени в настройките на IDE средата