Underc0de - La Casa de los Informáticos
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Febrero 17, 2026, 10:37:39 PM
(https://www.bleepstatic.com/content/hl-images/2025/03/13/VSCode_bw.jpg)
Las vulnerabilidades con clasificaciones de gravedad altas a críticas que afectan a las extensiones populares de Visual Studio Code (VSCode), descargadas colectivamente más de 128 millones de veces, podrían explotarse para robar archivos locales y ejecutar código de forma remota.
Los problemas de seguridad afectan a Live Server ( CVE-2025-65715 ), Code Runner ( CVE-2025-65716 ), Markdown Preview Enhanced ( CVE-2025-65717 ) y Microsoft Live Preview (sin identificador asignado).
Los investigadores de la empresa de seguridad de aplicaciones Ox Security descubrieron las fallas y trataron de revelarlas desde junio de 2025. Sin embargo, los investigadores dicen que ningún mantenedor respondió.
Ejecución remota de código en IDE
Las extensiones VSCode son complementos que amplían la funcionalidad del entorno de desarrollo integrado (IDE) de Microsoft. Pueden agregar soporte de idiomas, herramientas de depuración, temas y otras funciones u opciones de personalización.
Se ejecutan con acceso significativo al entorno de desarrollo local, incluidos archivos, terminales y recursos de red.
Ox Security publicó informes para cada una de las fallas descubiertas y advirtió que mantener las extensiones vulnerables podría exponer el entorno corporativo a movimientos laterales, filtración de datos y toma de control del sistema.
Un atacante que aproveche la vulnerabilidad crítica CVE-2025-65717 en la extensión Live Server (más de 72 millones de descargas en VSCode) puede robar archivos locales dirigiendo al objetivo a una página web maliciosa.
La vulnerabilidad CVE-2025-65715 en la extensión Code Runner VSCode, con 37 millones de descargas, permite la ejecución remota de código cambiando el archivo de configuración de la extensión. Esto podría lograrse engañando al objetivo para que pegue o aplique un fragmento de configuración maliciosamente en el archivo global settings.json.
Calificado con una puntuación de alta gravedad de 8,8, CVE-2025-65716 afecta a Markdown Preview Enhanced (8,5 millones de descargas) y puede aprovecharse para ejecutar JavaScript a través de un archivo Markdown creado con fines malintencionados.
Los investigadores de Ox Security descubrieron una vulnerabilidad XSS con un solo clic en versiones de Microsoft Live Preview anteriores a la 0.4.16. Puede explotarse para acceder a archivos confidenciales en la máquina de un desarrollador. La extensión tiene más de 11 millones de descargas en VSCode.
Las fallas en las extensiones también se aplican a Cursor y Windsurf, que son IDE alternativos compatibles con VSCode impulsados por IA.
El informe de Ox Security destaca que los riesgos asociados con que un actor de amenazas aproveche los problemas incluyen girar en la red y robar detalles confidenciales como claves API y archivos de configuración.
Se recomienda a los desarrolladores que eviten ejecutar servidores localhost a menos que sea necesario, abrir HTML que no sea de confianza mientras se están ejecutando y aplicar configuraciones que no sean de confianza o pegar fragmentos en settings.json.
Además, es recomendable eliminar extensiones innecesarias e instalar sólo aquellas de editores acreditados, mientras se monitorean cambios inesperados en la configuración.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/