128 миллионов скачиваний и дыра в защите. В популярных расширениях для VS Code нашли критические уязвимости

Популярные расширения для Visual Studio Code, которые суммарно скачали больше 128 миллионов раз, оказались уязвимыми для атак с кражей локальных файлов и удалённым запуском кода. Проблемы нашли сразу в нескольких известных дополнениях, которыми ежедневно пользуются разработчики.

Ошибки безопасности затрагивают расширения Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Им присвоили идентификаторы CVE-2025-65715, CVE-2025-65716 и CVE-2025-65717, ещё одна уязвимость пока без номера. Их обнаружила компания Ox Security, которая занимается безопасностью приложений. По словам исследователей, они пытались связаться с сопровождающими расширений с июня 2025 года, но ответа так и не получили.

Расширения в Visual Studio Code заметно расширяют возможности среды разработки. Они добавляют поддержку языков программирования, инструменты отладки и другие функции. При этом такие модули получают широкий доступ к рабочему окружению, включая файлы, терминал и сетевые ресурсы. Если в них есть ошибки, это открывает путь к атаке на компьютер разработчика и внутреннюю сеть компании.

Самая опасная уязвимость с идентификатором CVE-2025-65717 связана с механизмом предпросмотра и затрагивает расширение Live Server, которое скачали более 72 миллионов раз. Атакующий может заставить жертву открыть специально подготовленную страницу и через неё получить доступ к локальным файлам.

Уязвимость CVE-2025-65715 в Code Runner, установленном более 37 миллионов раз, позволяет выполнить произвольный код удалённо. Для этого злоумышленнику нужно убедить пользователя вставить вредоносный фрагмент настроек в файл settings.json. После изменения конфигурации расширение начинает выполнять команды атакующего.

Ещё одна проблема, CVE-2025-65716, обнаружена в Markdown Preview Enhanced, у которого около 8,5 миллиона установок. Через специально созданный Markdown-файл можно запустить вредоносный JavaScript-код при предпросмотре документа.

Отдельно описана XSS-уязвимость с выполнением действий по одному клику в Microsoft Live Preview в версиях ниже 0.4.16. Она даёт возможность читать чувствительные файлы на машине разработчика. Это расширение установили более 11 миллионов пользователей.

Указанные ошибки касаются не только Visual Studio Code, но и совместимых сред разработки Cursor и Windsurf, которые используют те же расширения.

В Ox Security предупреждают, что такие уязвимости позволяют злоумышленнику закрепиться во внутренней сети, перемещаться между системами и забирать данные, включая ключи доступа к программным интерфейсам и служебные конфигурационные файлы. Разработчикам рекомендуют не запускать локальные веб-серверы без необходимости, не открывать непроверенные HTML-файлы во время их работы и не применять чужие фрагменты настроек. Также безопаснее удалять лишние расширения и устанавливать дополнения только от известных разработчиков, проверяя, не изменились ли параметры среды без причины.