应用安全公司OX Security发现,四个广泛使用的Visual Studio Code扩展中存在严重和高危漏洞,这些扩展的总下载量达1.28亿次,使开发者面临文件窃取、远程代码执行和本地网络侦察等风险。
OX Security本周发布了这些研究发现,称其在2025年6月开始通知供应商,但四个维护者中有三个没有回应。三个CVE编号CVE-2025-65717、CVE-2025-65715和CVE-2025-65716已于2月16日正式分配和发布。
VS Code扩展是增强微软广泛使用的代码编辑器功能的插件,添加语言支持、调试工具、实时预览和代码执行等功能。这些扩展以广泛访问本地文件、终端和网络资源的权限运行,这使得这些漏洞具有严重后果。
与威胁行为者反复在VS Code市场植入的恶意扩展不同,这些缺陷存在于合法的、广泛安装的工具中,这意味着开发者没有理由怀疑它们,OX Security在咨询报告中表示。
"我们的研究表明,黑客只需要一个恶意扩展,或者一个扩展中的单个漏洞,就能执行横向移动并危害整个组织,"咨询报告补充道。
这些漏洞还影响了基于VS Code扩展基础设施构建的AI驱动IDE Cursor和Windsurf。
OX Security为每个缺陷发布了单独的咨询报告,详细说明了每个漏洞如何被利用以及攻击者可能实现的目标。
最严重的缺陷CVE-2025-65717(严重级别)存在于Live Server中,这是一个拥有7200万下载量的扩展,它启动本地HTTP服务器以进行实时浏览器预览。OX Security发现,当服务器运行时,任何开发者访问的网页都可以访问该服务器,不仅仅是他们自己的浏览器。
"当Live Server在后台运行时,攻击者只需向受害者发送恶意链接,"OX Security研究人员Moshe Siman Tov Bustan和Nir Zadok在咨询报告中写道。
CVE-2025-65715(高危)影响了拥有3700万下载量的Code Runner。该扩展从全局配置文件中读取执行命令,OX Security发现制作的条目足以触发任意代码执行,包括反向shell。攻击者可以通过钓鱼开发者粘贴恶意代码片段,或通过被入侵的扩展静默修改文件来放置它。
CVE-2025-65716(CVSS 8.8)影响了拥有850万下载量的Markdown Preview Enhanced。仅仅打开一个不受信任的Markdown文件就足以触发它。"恶意Markdown文件可能触发脚本或嵌入内容,收集受害者机器上开放端口的信息,"研究人员指出。
第四个漏洞的情况有所不同。微软拥有1100万下载量的Live Preview扩展包含跨站脚本漏洞,根据OX Security的说法,这让恶意网页能够枚举开发者机器根目录中的文件并窃取凭据、访问密钥和其他机密信息。
研究人员在8月7日向微软报告了这个问题。微软最初将其评为低危,理由是需要用户交互。
"然而,在2025年9月11日——在没有通知我们的情况下——微软悄悄发布了一个补丁,解决了我们报告的XSS安全问题。我们最近才发现这个补丁已经部署,"研究人员补充道。
这个漏洞没有分配CVE编号。"安装了Live Preview的用户应该立即更新到版本0.4.16或更高版本,"研究人员建议。
微软没有立即回应置评请求。
综合来看,这四个缺陷指出了开发者工具安全和维护方面的更广泛问题。
"这些漏洞证实,IDE是组织供应链安全中最薄弱的环节,"OX Security的研究人员在咨询报告中说。
开发者工作站通常保存API密钥、云凭据、数据库连接字符串和SSH密钥。OX Security警告说,从单台机器成功窃取数据可能使攻击者访问组织的更广泛基础设施,风险扩展到横向移动和完全系统接管。
研究人员建议开发者禁用不积极使用的扩展,避免在本地主机服务器运行时浏览不受信任的站点。他们还警告不要将来自未验证来源的配置片段应用到VS Code的全局设置中。
Q&A
Q1:VS Code扩展漏洞主要影响哪些扩展?
A:主要影响四个热门扩展:Live Server(7200万下载量)、Code Runner(3700万下载量)、Markdown Preview Enhanced(850万下载量)和微软的Live Preview(1100万下载量)。这些扩展总计拥有1.28亿次安装。
Q2:Live Server扩展的漏洞如何被攻击者利用?
A:Live Server扩展启动的本地HTTP服务器可被任何网页访问,不仅限于开发者自己的浏览器。攻击者只需在Live Server后台运行时向开发者发送恶意链接,就能利用这个严重级别的漏洞进行攻击。
Q3:如何防护VS Code扩展安全风险?
A:开发者应该禁用不积极使用的扩展,避免在本地服务器运行时浏览不受信任的网站,不要将来自未验证来源的配置片段应用到VS Code全局设置中,并及时更新扩展版本。