Kritické zraniteľnosti v rozšíreniach Visual Studio Code umožňujú vykonávať kód a exfiltrovať dáta

Výskumníci zo spoločnosti Ox Security identifikovali viaceré závažné zraniteľnosti v populárnych rozšíreniach pre Visual Studio Code (VSCode). Útočníci ich môžu zneužiť na kradnutie lokálnych súborov a vzdialené vykonávanie kódu priamo v prostredí vývojára.

Zraniteľné systémy:

• Visual Studio Code Live Server verzia 5.7.9 a staršie
• Visual Studio Code Code Runner verzia 0.12.2 a staršie
• Visual Studio Code Markdown Preview Enhanced verzia 0.8.18 a staršie
• Visual Studio Code Live Preview vo verziách starších ako 0.4.16

Opis zraniteľnosti:

CVE-2025-65715 (CVSS 3.1 skóre: 7.8)

Zraniteľnosť s označením CVE-2025-65715 sa nachádza v rozšírení Code Runner pre Visual Studio Code. Súvisí s absenciou validácie používateľsky definovaných premenných v konfiguračnom súbore settings.json, konkrétne hodnoty code-runner.executorMap, ktorú rozšírenie bez kontroly preberá do Node.js child_process.spawn() so zapnutým shell: true. Ak útočník dokáže presvedčiť vývojára, aby otvoril škodlivý workspace alebo vložil upravené nastavenie do súboru settings.json, môže pri spustení vyvíjaného kódu dôjsť k vykonaniu ľubovoľného príkazu shell v kontexte používateľa (napr. vytvoreniu reverzného shellu).

CVE-2025-65716 (CVSS 3.1 skóre: 8.8)

Vysoko závažná zraniteľnosť CVE-2025-65716 sa nachádza v rozšírení Markdown Preview Enhanced pre Visual Studio Code. Súvisí s neošetreným vykresľovaním náhľadu HTML tagov v súboroch .md. Útočník dokáže pri náhľade upraveného dokumentu typu Markdown pomocou iframe vykonať ľubovoľný kód JavaScript v súlade s politikou same-origin. Výskumníci z Ox Security týmto spôsobom dokázali enumerovať porty na zariadení obete a exfiltrovať získané dáta.

CVE-2025-65717 (CVSS 3.1 skóre: 9.1)

Kritická zraniteľnosť CVE-2025-65717 sa nachádza v rozšírení Live Server pre Visual Studio Code a súvisí s absentujúcou ochranou CORS. Pri spustenom lokálnom HTTP serveri umožňuje vzdialenému útočníkovi bez autentifikácie exfiltrovať súbory z vývojárskeho počítača. Stačí, aby obeť otvorila odkaz na škodlivú webstránku útočníka, ktorá následne zneužije prístup k portu localhost:5500 na prehliadanie a odosielanie citlivých dát na server pod kontrolou útočníka.

Okrem vyššie popísaných zraniteľností našli výskumníci spoločnosti Ox Security zraniteľnosť v rozšírení Microsoft Live Preview, ktorá nedostala číslo CVE. Jedná sa o chybu zabezpečenia, ktorá súvisí s možnosťou neužiť neošetrený parameter relativePathFormatted, čo útočníkovi umožňuje vykonávať útoky typu XSS a bez autentifikácie enumerovať a pristupovať k súborom obete.  Útočník môže získať tajomstvá, prístupové kľúče a iné citlivé informácie zo zariadenia obete.

Možné škody:

• Vzdialené vykonanie kódu
• Únik citlivých údajov
• Získanie úplnej kontroly nad systémom

Odporúčania:

Organizáciám odporúčame aktualizovať všetky rozšírenia pre Visual Studio Code na opravené verzie a povoliť iba pre projekt nevyhnutné doplnky z dôveryhodných zdrojov.

Zdroje:

• https://www.ox.security/blog/xssinlivepreview/?_gl=1*1ydb6pv*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw
• https://www.ox.security/blog/cve-2025-65717-live-server-vscode-vulnerability/?_gl=1*13zfoyu*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw
• https://www.ox.security/blog/cve-2025-65715-code-runner-vscode-rce/?_gl=1*13zfoyu*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw
• https://www.ox.security/blog/cve-2025-65716-markdown-preview-enhanced-vscode-vulnerability/?_gl=1*13zfoyu*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw
• https://nvd.nist.gov/vuln/detail/CVE-2025-65715
• https://nvd.nist.gov/vuln/detail/CVE-2025-65716
• https://nvd.nist.gov/vuln/detail/CVE-2025-65717
• https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/