Cybersecurity-onderzoekers hebben meerdere beveiligingskwetsbaarheden onthuld in vier populaire Microsoft Visual Studio Code (VS Code)-extensies die, indien succesvol uitgebuit, bedreigingsactoren in staat zouden kunnen stellen lokale bestanden te stelen en code op afstand uit te voeren.
De extensies, die gezamenlijk meer dan 125 miljoen keer zijn geïnstalleerd, zijn Live Server, Code Runner, Markdown Preview Enhanced en Microsoft Live Preview.
“Ons onderzoek toont aan dat een hacker slechts één kwaadaardige extensie, of een enkele kwetsbaarheid binnen één extensie, nodig heeft om laterale bewegingen uit te voeren en hele organisaties in gevaar te brengen”, aldus OX Security-onderzoekers Moshe Siman Tov Bustan en Nir Zadok in een rapport gedeeld met The Hacker News.
Details van de kwetsbaarheden zijn als volgt:
- CVE-2025-65717 (CVSS-score: 9.1) – Een kwetsbaarheid in Live Server waardoor aanvallers lokale bestanden kunnen exfiltreren, waardoor een ontwikkelaar wordt verleid een kwaadwillende website te bezoeken terwijl de extensie actief is, waardoor JavaScript dat in de pagina is ingebed, bestanden van de lokale ontwikkelings-HTTP-server die op localhost:5500 draait, crawlt en extraheert, en deze doorstuurt naar een domein onder hun controle. (Blijft ongepatcht)
- CVE-2025-65716 (CVSS-score: 8,8) – Een kwetsbaarheid in Markdown Preview is verbeterd waardoor aanvallers willekeurige JavaScript-code kunnen uitvoeren door een vervaardigd markdown-bestand (.md) te uploaden, waardoor lokale poortopsomming en exfiltratie naar een domein onder hun controle mogelijk wordt. (Blijft ongepatcht)
- CVE-2025-65715 (CVSS-score: 7,8) – Een kwetsbaarheid in Code Runner waarmee aanvallers willekeurige code kunnen uitvoeren door een gebruiker ervan te overtuigen het bestand “settings.json” te wijzigen via phishing of social engineering. (Blijft ongepatcht)
- Door een kwetsbaarheid in Microsoft Live Preview kunnen aanvallers toegang krijgen tot gevoelige bestanden op de computer van een ontwikkelaar door een slachtoffer ertoe te verleiden een kwaadaardige website te bezoeken terwijl de extensie actief is. Hierdoor kunnen speciaal vervaardigde JavaScript-verzoeken gericht op de localhost gevoelige bestanden opsommen en exfiltreren. (Geen CVE, stil opgelost door Microsoft in versie 0.4.16 uitgebracht in september 2025)
Om de ontwikkelomgeving te beveiligen is het essentieel om te voorkomen dat u niet-vertrouwde configuraties toepast, niet-essentiële extensies uitschakelt of verwijdert, het lokale netwerk achter een firewall verhardt om inkomende en uitgaande verbindingen te beperken, extensies periodiek bijwerkt en localhost-gebaseerde services uitschakelt wanneer deze niet in gebruik zijn.
“Slecht geschreven extensies, overdreven tolerante extensies of kwaadaardige extensies kunnen code uitvoeren, bestanden wijzigen en aanvallers in staat stellen een machine over te nemen en informatie te exfiltreren”, aldus OX Security. “Het op een machine geïnstalleerd houden van kwetsbare extensies is een directe bedreiging voor de beveiliging van een organisatie: er is misschien maar één klik of een gedownloade repository nodig om alles in gevaar te brengen.”
