Исследователи из OX Security обнаружили критические уязвимости в популярных расширениях для Visual Studio Code. С их помощью злоумышленники могут похищать локальные файлы, выполнять произвольный код и использовать редактор кода в качестве точки входа в корпоративную инфраструктуру. Уязвимые расширения суммарно установили более 125 млн раз.
В отчёте исследователей речь идёт о следующих плагинах и уязвимостях в них:
Идентификатор уязвимости | Расширение | Оценка CVSS | Тип уязвимости | Загрузки | Затронутые версии |
9,1 | Удалённое несанкционированное извлечение файлов | 72 млн | Все версии | ||
7,8 | Удалённое выполнение кода | 37 млн | Все версии | ||
8,8 | Запуск JavaScript-кода с последующим сканированием локальных портов и возможной утечкой данных | 8,5 млн | Все версии | ||
Идентификатор не выдан | — | XSS-атака в один клик с доступом ко всем файлам IDE и их выгрузкой | 11 млн | Исправлено в версии 0.4.16+ |
Исследователи отмечают, что сообщили разработчикам об уязвимостях ещё в конце лета 2025 года. К февралю 2026 года ошибку исправила только Microsoft в своём плагине Live Preview. Другие мейнтейнеры проигнорировали запрос, хотя с ними пытались связаться сразу по нескольким каналам, включая электронную почту, страницы GitHub и социальные сети.
Пользователям рекомендуют не открывать непроверенные HTML-файлы во время работы сервисов на localhost, не копировать конфигурации settings.json из небезопасных источников, удалить или отключить лишние расширения в VS Code и ограничить доступ к локальным сервисам через фаервол.
Кроме того, исследователи отмечают, что серьёзные уязвимости в плагинах для VS Code и других редакторов кода становятся системной проблемой в сообществе. Для её решения предлагают внедрить обязательную проверку безопасности перед публикацией расширения, похожую на проверку в магазинах мобильных приложений.
