【安全资讯】流行VSCode扩展中的高危漏洞使开发者面临攻击风险

概要：

在当今软件开发高度依赖集成开发环境（IDE）的背景下，Visual Studio Code（VSCode）扩展的安全性问题日益凸显。近期，安全研究人员发现多个下载量巨大的VSCode扩展存在高危漏洞，可能被攻击者利用来窃取本地文件并远程执行代码，对全球数百万开发者及其所在的企业环境构成严重威胁。

主要内容：

应用安全公司Ox Security的研究人员发现了影响四个流行VSCode扩展的严重漏洞，这些扩展的累计下载量超过1.28亿次。受影响的扩展包括Live Server（CVE-2025-65715）、Code Runner（CVE-2025-65716）、Markdown Preview Enhanced（CVE-2025-65717）以及Microsoft Live Preview。研究人员自2025年6月起尝试披露这些漏洞，但未收到任何维护者的回应。

这些漏洞的核心风险在于，VSCode扩展在本地开发环境中拥有较高的访问权限，包括文件、终端和网络资源。攻击者可以利用这些漏洞进行横向移动、数据窃取和系统控制。例如，通过Live Server扩展中的CVE-2025-65717漏洞，攻击者可以诱导目标访问恶意网页来窃取本地文件。

具体攻击手法多样。Code Runner扩展的CVE-2025-65715漏洞允许攻击者通过篡改扩展的配置文件（settings.json）来实现远程代码执行。Markdown Preview Enhanced扩展的CVE-2025-65716漏洞（严重性评分8.8）则可通过特制的Markdown文件执行JavaScript代码。Microsoft Live Preview扩展在0.4.16之前版本存在一键式XSS漏洞，可被用来访问开发者机器上的敏感文件。

值得注意的是，这些漏洞同样影响基于VSCode的AI驱动替代IDE，如Cursor和Windsurf。Ox Security的报告强调，威胁行为者利用这些漏洞可能窃取API密钥和配置文件等敏感信息。安全建议包括避免不必要的本地服务器运行、谨慎处理不受信任的HTML和配置、移除不必要的扩展，并仅从可信发布者处安装扩展。