Исследователи нашли критические уязвимости в расширениях для VS Code, которые суммарно установили более 125 млн раз

Исследователи из OX Security обнаружили критические уязвимости в популярных расширениях для Visual Studio Code. С их помощью злоумышленники могут похищать локальные файлы, выполнять произвольный код и использовать редактор кода в качестве точки входа в корпоративную инфраструктуру. Уязвимые расширения суммарно установили более 125 млн раз.

В отчёте исследователей речь идёт о следующих плагинах и уязвимостях в них:

Идентификатор уязвимости

Расширение

Оценка CVSS

Тип уязвимости

Загрузки

Затронутые версии

CVE-2025-65717

Live Server

9,1

Удалённое несанкционированное извлечение файлов

72 млн

Все версии

CVE-2025-65715

Code Runner

7,8

Удалённое выполнение кода

37 млн

Все версии

CVE-2025-65716

Markdown Preview Enhanced

8,8

Запуск JavaScript-кода с последующим сканированием локальных портов и возможной утечкой данных

8,5 млн

Все версии

Идентификатор не выдан

Microsoft Live Preview

—

XSS-атака в один клик с доступом ко всем файлам IDE и их выгрузкой

11 млн

Исправлено в версии 0.4.16+

Исследователи отмечают, что сообщили разработчикам об уязвимостях ещё в конце лета 2025 года. К февралю 2026 года ошибку исправила только Microsoft в своём плагине Live Preview. Другие мейнтейнеры проигнорировали запрос, хотя с ними пытались связаться сразу по нескольким каналам, включая электронную почту, страницы GitHub и социальные сети.

Пользователям рекомендуют не открывать непроверенные HTML-файлы во время работы сервисов на localhost, не копировать конфигурации settings.json из небезопасных источников, удалить или отключить лишние расширения в VS Code и ограничить доступ к локальным сервисам через фаервол.

Кроме того, исследователи отмечают, что серьёзные уязвимости в плагинах для VS Code и других редакторов кода становятся системной проблемой в