Перейти к содержимому
Медиа Про Айти
Меню
  • Зеленые технологии
  • Технологии
  • Гаджеты
  • Нейросети
  • Роботы
  • Интернет
Меню

OX Security выявила уязвимости в популярных расширениях для Visual Studio Code

Опубликовано в 25.02.2026 от Редакция

Исследователи из компании OX Security обнаружили серьезные уязвимости в четырех популярных расширениях для Visual Studio Code: Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Суммарное число установок этих расширений превышает 125 млн, а найденные баги позволяют похищать локальные файлы и удаленно выполнять код.

«Наше исследование показывает, что хакеру нужно всего одно вредоносное расширение или одна уязвимость в расширении, чтобы выполнить боковое перемещение и скомпрометировать целую организацию», — пишут специалисты. Обнаруженные проблемы связаны преимущественно с тем, как расширения обрабатывают локальные серверы и пользовательский ввод.

Самой опасной оказалась уязвимость CVE-2025-65717 (9,1 балла по шкале CVSS) в расширении Live Server. Атакующий может заманить разработчика на вредоносный сайт, пока расширение запущено, после чего встроенный в страницу JavaScript начинает извлекать файлы с локального HTTP-сервера на localhost:5500 и передавать их на подконтрольный хакеру домен. Патча для этой уязвимости пока нет.

В Markdown Preview Enhanced нашли баг CVE-2025-65716 (8,8 балла по шкале CVSS), позволяющий выполнять произвольный JavaScript-код через специально подготовленный markdown-файл. В результате атакующий получает возможность проводить перечисление локальных портов и похищать данные. Исправление тоже не выпущено.

Уязвимость CVE-2025-65715 (7,8 балла по шкале CVSS) в Code Runner открывает возможность для выполнения произвольного кода — для этого злоумышленнику нужно с помощью фишинга или социальной инженерии убедить жертву изменить файл settings.json. Патча тоже пока нет.

Наконец, аналогичная проблема с эксфильтрацией файлов затронула расширение Microsoft Live Preview. Атака работает по схожему принципу: жертву заманивают на вредоносную страницу, которая отправляет JavaScript-запросы к localhost и извлекает конфиденциальные файлы. В Microsoft уже устранили эту уязвимость в версии 0.4.16, вышедшей в сентябре 2025 года, без присвоения CVE.

Для защиты исследователи рекомендуют не применять непроверенные конфигурации, удалять ненужные расширения, закрывать файрволом входящие и исходящие подключения, регулярно обновлять расширения и отключать сервисы на localhost, если они не используются. Исследователи из OX Security выявили критические уязвимости в популярных расширениях для Visual Studio Code. С их помощью злоумышленники могут похищать локальные файлы, выполнять произвольный код и использовать редактор кода в качестве точки входа в корпоративную инфраструктуру. Уязвимые расширения суммарно установили более 125 млн раз.

В отчёте исследователей речь идёт о следующих плагинах и уязвимостях в них:
– CVE-2025-65717: Live Server (9,1) – Удалённое несанкционированное извлечение файлов (72 млн загрузок)
– CVE-2025-65715: Code Runner (7,8) – Удалённое выполнение кода (37 млн загрузок)
– CVE-2025-65716: Markdown Preview Enhanced (8,8) – Запуск JavaScript-кода с последующим сканированием локальных портов (8,5 млн загрузок)

Исследователи отмечают, что сообщили разработчикам об уязвимостях ещё в конце лета 2025 года. К февралю 2026 года ошибку исправила только Microsoft в своём плагине Live Preview. Другие мейнтейнеры проигнорировали запрос, хотя с ними пытались связаться сразу по нескольким каналам, включая электронную почту, страницы GitHub и социальные сети.

Пользователям рекомендуют не открывать непроверенные HTML-файлы во время работы сервисов на localhost, не копировать конфигурации settings.json из небезопасных источников, удалить или отключить лишние расширения в VS Code и ограничить доступ к локальным сервисам через файрвол. Кроме того, исследователи отмечают, что серьёзные уязвимости в плагинах для VS Code и других редакторов кода становятся системной проблемой в сообществе. Для её решения предлагают внедрить обязательную проверку безопасности перед публикацией расширения, похожую на проверку в магазинах мобильных приложений.

Навигация по записям

← Траты россиян на видеоигры выросли до 175 млрд рублей в 2025 году
Xiaomi анонсирует функции для интеграции с устройствами Apple на MWC 2026 →

Популярное за неделю

Учредитель ООО "Клуб регионов", ИНН 6685155934

Генеральный директор: Чернокоз Ольга Валерьевна

info@gosrf.ru

+7 (495) 920-51-49

Политика в отношении обработки персональных данных

Согласие на обработку персональных данных

© 2026 Медиа Про Айти
Мы используем куки для наилучшего представления нашего сайта. Если Вы продолжите использовать сайт, мы будем считать что Вас это устраивает.