Исследователи из компании OX Security выявили серьезные уязвимости в четырех популярных расширениях для Visual Studio Code. Эти расширения, среди которых Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview, имеют более 125 миллионов установок. Найденные недостатки позволяют злоумышленникам похищать локальные файлы и удаленно выполнять код.
Одной из самых опасных уязвимостей является CVE-2025-65717 в расширении Live Server. Этот недостаток имеет высокий балл по шкале CVSS — 9,1. Он позволяет атакующему заманить разработчика на вредоносный сайт, что дает возможность извлечь файлы с локального HTTP-сервера на localhost:5500. Патча для устранения этой угрозы пока не существует.
Также были обнаружены другие значительные уязвимости. В расширении Markdown Preview Enhanced найден баг CVE-2025-65716 (8,8 балла по шкале CVSS), позволяющий запускать произвольный JavaScript-код через специальный markdown-файл. Это дает злоумышленнику возможность проводить сканирование локальных портов и похищать данные. Изменение файла settings.json в Code Runner открывает возможность выполнения произвольного кода (CVE-2025-65715, 7,8 балла).
Уязвимость Microsoft Live Preview также позволяет эксфильтрировать данные, однако версия плагина с исправлениями уже была выпущена. Операторы проектов были уведомлены об уязвимостях с конца лета 2025 года, но только Microsoft исправила свои проблемы к февралю 2026 года, тогда как другие мейнтейнеры проигнорировали обращения.
Исследователи настоятельно рекомендуют пользователям соблюдать осторожность и не открывать непроверенные конфигурации. Кроме того, следует удалить ненужные расширения, закрыть входящие и исходящие подключения через файрвол и регулярно обновлять расширения. Эти уязвимости подчеркивают настоятельную потребность в более тщательной проверки безопасности расширений для Visual Studio Code и других редакторов кода. В будущем специалисты предлагают внедрить обязательную проверку безопасности перед публикацией, аналогичную проверкам в магазинах мобильных приложений.