Исследователи нашли критические уязвимости в расширениях для VS Code, которые суммарно установили более 125 млн раз
habr.comИсследователи из OX Security обнаружили критические уязвимости в популярных расширениях для Visual Studio Code. С их помощью злоумышленники могут похищать локальные файлы, выполнять произвольный код и использовать редактор кода в качестве точки входа в корпоративную инфраструктуру.
Уязвимые расширения суммарно установили более 125 млн раз.В отчёте исследователей речь идёт о следующих плагинах и уязвимостях в них: Идентификатор уязвимости Расширение Оценка CVSS Тип уязвимости Загрузки Затронутые версии CVE-2025-65717 Live Server 9,1Удалённое несанкционированное извлечение файлов72 млнВсе версии CVE-2025-65715 Code Runner 7,8Удалённое выполнение кода37 млнВсе версии CVE-2025-65716 Markdown Preview Enhanced 8,8Запуск JavaScript-кода с последующим сканированием локальных портов и возможной утечкой данных8,5 млнВсе версииИдентификатор не выдан Microsoft Live Preview —XSS-атака в один клик с доступом ко всем файлам IDE и их выгрузкой11 млнИсправлено в версии 0.4.16+Исследователи отмечают, что сообщили разработчикам об уязвимостях ещё в конце лета 2025 года.
