128 миллионов скачиваний и дыра в защите. В популярных расширениях для VS Code нашли критические уязвимости
NewsMakerСпециалисты предупредили о риске взлома корпоративных сетей через инструменты для разработчиков.
Популярные расширения для Visual Studio Code , которые суммарно скачали больше 128 миллионов раз, оказались уязвимыми для атак с кражей локальных файлов и удалённым запуском кода. Проблемы нашли сразу в нескольких известных дополнениях, которыми ежедневно пользуются разработчики.
Ошибки безопасности затрагивают расширения Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Им присвоили идентификаторы CVE-2025-65715 , CVE-2025-65716 и CVE-2025-65717 , ещё одна уязвимость пока без номера. Их обнаружила компания Ox Security, которая занимается безопасностью приложений. По словам исследователей, они пытались связаться с сопровождающими расширений с июня 2025 года, но ответа так и не получили.
Расширения в Visual Studio Code заметно расширяют возможности среды разработки. Они добавляют поддержку языков программирования, инструменты отладки и другие функции. При этом такие модули получают широкий доступ к рабочему окружению, включая файлы, терминал и сетевые ресурсы. Если в них есть ошибки, это открывает путь к атаке на компьютер разработчика и внутреннюю сеть компании.
Самая опасная уязвимость с идентификатором CVE-2025-65717 связана с механизмом предпросмотра и затрагивает расширение Live Server, которое скачали более 72 миллионов раз. Атакующий может заставить жертву открыть специально подготовленную страницу и через неё получить доступ к локальным файлам .
Популярные расширения для Visual Studio Code , которые суммарно скачали больше 128 миллионов раз, оказались уязвимыми для атак с кражей локальных файлов и удалённым запуском кода. Проблемы нашли сразу в нескольких известных дополнениях, которыми ежедневно пользуются разработчики.
Ошибки безопасности затрагивают расширения Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Им присвоили идентификаторы CVE-2025-65715 , CVE-2025-65716 и CVE-2025-65717 , ещё одна уязвимость пока без номера. Их обнаружила компания Ox Security, которая занимается безопасностью приложений. По словам исследователей, они пытались связаться с сопровождающими расширений с июня 2025 года, но ответа так и не получили.
Расширения в Visual Studio Code заметно расширяют возможности среды разработки. Они добавляют поддержку языков программирования, инструменты отладки и другие функции. При этом такие модули получают широкий доступ к рабочему окружению, включая файлы, терминал и сетевые ресурсы. Если в них есть ошибки, это открывает путь к атаке на компьютер разработчика и внутреннюю сеть компании.
Самая опасная уязвимость с идентификатором CVE-2025-65717 связана с механизмом предпросмотра и затрагивает расширение Live Server, которое скачали более 72 миллионов раз. Атакующий может заставить жертву открыть специально подготовленную страницу и через неё получить доступ к локальным файлам .