Trois des quatre vulnérabilités sont restées non corrigées des mois après qu’OX Security les a signalées aux responsables.
Des vulnérabilités critiques et de haute gravité ont été découvertes dans quatre extensions Visual Studio Code largement utilisées avec un total de 128 millions de téléchargements, exposant les développeurs au vol de fichiers, à l’exécution de code à distance et à la reconnaissance du réseau local.
La société de sécurité des applications OX Security a publié les résultats cette semaine, affirmant qu’elle avait commencé à informer les fournisseurs en juin 2025, mais n’avait reçu aucune réponse de trois des quatre responsables.
Trois CVE, CVE-2025-65717, CVE-2025-65715 et CVE-2025-65716, ont été officiellement attribués et publiés le 16 février.
Les extensions VS Code sont des modules complémentaires qui étendent les fonctionnalités de l’éditeur de code largement utilisé de Microsoft, en ajoutant des fonctionnalités telles que la prise en charge du langage, des outils de débogage, un aperçu en direct et l’exécution de code. Ils fonctionnent avec un large accès aux fichiers locaux, aux terminaux et aux ressources réseau, ce qui rend ces vulnérabilités conséquentes.
Contrairement aux extensions malveillantes que les acteurs malveillants ont implantées à plusieurs reprises sur le marché VS Code, ces failles résidaient dans des outils légitimes et largement installés, ce qui signifie que les développeurs n’avaient aucune raison de les soupçonner, a déclaré OX Security dans un avis.
« Nos recherches démontrent qu’un pirate informatique n’a besoin que d’une seule extension malveillante, ou d’une seule vulnérabilité au sein d’une extension, pour effectuer un mouvement latéral et compromettre des organisations entières », ajoute l’avis.
Les vulnérabilités ont également affecté Cursor et Windsurf, les IDE basés sur l’IA et construits sur l’infrastructure d’extension de VS Code.
OX Security a publié des avis individuels pour chaque faille, détaillant comment chacune pourrait être exploitée et ce qu’un attaquant pourrait réaliser.
Comment les attaques ont fonctionné
La faille la plus grave, CVE-2025-65717 (critique), concernait Live Server, une extension téléchargée 72 millions de fois qui lance un serveur HTTP local pour les aperçus en temps réel du navigateur. OX Security a découvert que le serveur était accessible depuis n’importe quelle page Web visitée par un développeur pendant son exécution, et pas seulement depuis son propre navigateur.
« Les attaquants n’ont qu’à envoyer un lien malveillant à la victime pendant que Live Server s’exécute en arrière-plan », ont écrit les chercheurs d’OX Security Moshe Siman Tov Bustan et Nir Zadok dans un avis.
CVE-2025-65715 (gravité élevée) a affecté Code Runner, avec 37 millions de téléchargements. L’extension lit les commandes d’exécution à partir d’un fichier de configuration global et OX Security a trouvé une entrée contrefaite suffisante pour déclencher l’exécution de code arbitraire, y compris des shells inversés. Un attaquant pourrait le placer en incitant un développeur à coller un extrait malveillant ou via une extension compromise qui modifiait le fichier en silence.
CVE-2025-65716 (CVSS 8.8) a affecté Markdown Preview Enhanced, avec 8,5 millions de téléchargements. Il suffisait d’ouvrir simplement un fichier Markdown non fiable pour le déclencher. « Un fichier Markdown malveillant pourrait déclencher des scripts ou du contenu intégré collectant des informations sur les ports ouverts sur la machine de la victime », ont noté les chercheurs.
Microsoft a discrètement corrigé sa propre extension
La quatrième vulnérabilité s’est déroulée différemment. L’extension Live Preview de Microsoft, avec 11 millions de téléchargements, contenait une faille de script intersite qui, selon OX Security, permettait à une page Web malveillante d’énumérer les fichiers à la racine de la machine d’un développeur et d’exfiltrer les informations d’identification, les clés d’accès et d’autres secrets.
Les chercheurs ont signalé le problème à Microsoft le 7 août. Microsoft l’a initialement évalué comme étant de faible gravité, citant une interaction requise avec l’utilisateur.
« Cependant, le 11 septembre 2025, sans nous en informer, Microsoft a discrètement publié un correctif résolvant les problèmes de sécurité XSS que nous avions signalés. Nous n’avons découvert que récemment que ce correctif avait été déployé », ont ajouté les chercheurs.
Aucun CVE n’a été attribué à cette vulnérabilité. « Les utilisateurs avec Live Preview doivent immédiatement mettre à jour vers la version 0.4.16 ou une version ultérieure », ont suggéré les chercheurs.
Microsoft n’a pas immédiatement répondu à une demande de commentaire.
Prises ensemble, les quatre failles mettent en évidence un problème plus large lié à la manière dont les outils de développement sont sécurisés et maintenus.
Ce que les équipes de sécurité doivent faire
« Ces vulnérabilités confirment que les IDE constituent le maillon le plus faible de la sécurité de la chaîne d’approvisionnement d’une organisation », ont déclaré les chercheurs d’OX Security dans l’avis.
Les postes de travail des développeurs contiennent régulièrement des clés API, des informations d’identification cloud, des chaînes de connexion à la base de données et des clés SSH. OX Security a averti qu’une exfiltration réussie d’une seule machine pourrait donner à un attaquant l’accès à l’infrastructure plus large d’une organisation et que les risques s’étendaient au mouvement latéral et à la prise de contrôle complète du système.
Les chercheurs ont conseillé aux développeurs de désactiver les extensions qui ne sont pas activement utilisées et d’éviter de parcourir des sites non fiables pendant que les serveurs localhost sont en cours d’exécution. Ils ont également mis en garde contre l’application d’extraits de configuration provenant de sources non vérifiées aux paramètres globaux de VS Code.
