Investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad en cuatro extensiones populares de Microsoft Visual Studio Code (VS Code) que, si se explotan con éxito, podrían permitir a los actores de amenazas robar archivos locales y ejecutar código de forma remota.
Las extensiones que se han instalado más de 125 millones de veces en total son Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview.
«Nuestra investigación muestra que un pirata informático sólo necesita una extensión maliciosa, o una única vulnerabilidad dentro de una extensión, para realizar un movimiento lateral y comprometer a toda una organización», dijeron los investigadores de OX Security Moshe Siman Tov Bustan y Nir Zadok en un informe compartido con The Hacker News.
Los detalles de la vulnerabilidad se encuentran a continuación.
CVE-2025-65717 (Puntuación CVSS: 9.1): una vulnerabilidad en Live Server permite a un atacante extraer archivos locales, engañar a un desarrollador para que visite un sitio web malicioso mientras se ejecuta una extensión y permitir que JavaScript incrustado en la página rastree un servidor HTTP de desarrollo local que se ejecuta en localhost:5500, extraiga archivos y los envíe a un dominio bajo su control. (Sin parchear) CVE-2025-65716 (puntuación CVSS: 8,8): una vulnerabilidad en Markdown Preview Enhanced permite a los atacantes ejecutar código JavaScript arbitrario cargando un archivo Markdown (.md) diseñado, lo que permite la enumeración de puertos locales y la exfiltración a dominios controlados. (permanece sin parchear) CVE-2025-65715 (puntuación CVSS: 7,8): una vulnerabilidad en Code Runner permite a un atacante ejecutar código arbitrario persuadiendo a un usuario para que modifique el archivo «settings.json» mediante phishing o ingeniería social. (Sin parchear) Una vulnerabilidad en Microsoft Live Preview podría permitir a un atacante acceder a archivos confidenciales en la máquina de un desarrollador engañando a la víctima para que visite un sitio web malicioso mientras se ejecuta la extensión. Esto permite que las solicitudes de JavaScript especialmente diseñadas dirigidas a localhost enumeren y extraigan archivos confidenciales. (Sin CVE, solucionado silenciosamente por Microsoft en la versión 0.4.16 lanzada en septiembre de 2025)
Para proteger su entorno de desarrollo, es importante evitar aplicar configuraciones que no sean de confianza, deshabilitar o desinstalar extensiones no esenciales, reforzar su red local detrás de un firewall para limitar las conexiones entrantes y salientes, actualizar extensiones periódicamente y desactivar los servicios basados en host local cuando no estén en uso.
«Una extensión mal escrita, demasiado permisiva o maliciosa puede ejecutar código, modificar archivos o permitir que un atacante se apodere de su máquina y extraiga información», dijo OX Security. «Dejar una extensión vulnerable instalada en una máquina es una amenaza inmediata para la seguridad de una organización. Un solo clic o una descarga del repositorio puede comprometerlo todo».
Source link
