Vulnerabilidades críticas en extensiones de VS Code con 125 millones de descargas
Publicado el
Vulnerabilidades en extensiones de VS Code
Recientes investigaciones han revelado serias vulnerabilidades de seguridad en cuatro extensiones ampliamente utilizadas de Microsoft Visual Studio Code (VS Code). Con más de 125 millones de instalaciones entre ellas, las extensiones afectadas son Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview.
Los expertos de OX Security, Moshe Siman Tov Bustan y Nir Zadok, han advertido que un solo complemento malicioso o una única vulnerabilidad dentro de cualquiera de estas extensiones puede permitir a los atacantes realizar movimientos laterales y comprometer organizaciones enteras.
Detalles de las vulnerabilidades
Las vulnerabilidades identificadas son las siguientes:
- CVE-2025-65717 (Puntuación CVSS: 9.1): Esta vulnerabilidad en Live Server permite a los atacantes exfiltrar archivos locales al engañar a un desarrollador para que visite un sitio web malicioso mientras la extensión está activa. Esto provoca que el código JavaScript incrustado en la página extraiga archivos del servidor HTTP local en localhost:5500 y los envíe a un dominio controlado por el atacante. (Sin parcheado)
- CVE-2025-65716 (Puntuación CVSS: 8.8): En Markdown Preview Enhanced, los atacantes pueden ejecutar código JavaScript arbitrario mediante la subida de un archivo markdown modificado, lo que permite la enumeración de puertos locales y la exfiltración a un dominio bajo su control. (Sin parcheado)
- CVE-2025-65715 (Puntuación CVSS: 7.8): En Code Runner, los atacantes pueden ejecutar código arbitrario si logran que un usuario modifique el archivo settings.json a través de técnicas de phishing o ingeniería social. (Sin parcheado)
- En el caso de Microsoft Live Preview, los atacantes pueden acceder a archivos sensibles en la máquina del desarrollador al engañarlo para que visite un sitio web malicioso mientras la extensión está activa. Esto habilita solicitudes JavaScript específicamente diseñadas que apuntan al localhost para enumerar y exfiltrar archivos sensibles. (Sin CVE, corregido silenciosamente por Microsoft en la versión 0.4.16 lanzada en septiembre de 2025)
Recomendaciones de seguridad
Para proteger el entorno de desarrollo, se recomienda tomar las siguientes precauciones:
- Evitar aplicar configuraciones no confiables. - Deshabilitar o desinstalar extensiones no esenciales. - Fortalecer la red local tras un cortafuegos para restringir conexiones entrantes y salientes. - Actualizar periódicamente las extensiones y desactivar los servicios basados en localhost cuando no estén en uso.
Según OX Security, “las extensiones mal escritas, excesivamente permisivas o maliciosas pueden ejecutar código, modificar archivos y permitir que los atacantes tomen el control de una máquina y exfiltren información”. Mantener extensiones vulnerables instaladas en una máquina representa una amenaza inmediata para la seguridad de una organización: podría bastar un solo clic o un repositorio descargado para comprometer todo.
Es fundamental que los desarrolladores y las organizaciones se mantengan atentos a estas vulnerabilidades y tomen medidas proactivas para proteger sus entornos de trabajo.