Исследовательская группа OX Security Research обнаружила ряд критических уязвимостей в четырех популярных расширениях для интегрированных сред разработки (IDE). Проблема первоначально была выявлена в экосистеме VS Code, однако позднее эксперты подтвердили наличие угроз и для редакторов Cursor и Windsurf. Общее количество загрузок уязвимых компонентов превышает 128 миллионов, что создает существенные риски для безопасности цепочек поставок ПО.
Три из обнаруженных брешей получили идентификаторы CVE: CVE-2025-65715, CVE-2025-65716 и CVE-2025-65717. Согласно отчету, для компрометации организации злоумышленнику достаточно одной уязвимости в расширении. Это открывает возможности для горизонтального перемещения внутри сети и хищения конфиденциальной информации, включая API-ключи, логику бизнес-процессов и данные клиентов, которые разработчики часто хранят в локальных файловых системах.
Технические детали и список уязвимостей
Расширения обладают широкими правами доступа и напрямую взаимодействуют с рабочей станцией разработчика. Небезопасный код или избыточные разрешения позволяют злоумышленникам выполнять произвольные команды и модифицировать файлы.
Ниже приведена сводная таблица обнаруженных уязвимостей с техническими характеристиками:
| CVE ID | Название расширения | CVSS Score | Загрузки | Тип уязвимости | Затронутые версии | Ссылка |
|---|---|---|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | 72M+ | Удаленная эксфильтрация файлов | Все версии | Marketplace |
| CVE-2025-65715 | Code Runner | 7.8 | 37M+ | Удаленное выполнение кода (RCE) | Все версии | Marketplace |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | 8.5M+ | Выполнение JS-кода, сканирование локальных портов, утечка данных | Все версии | Marketplace |
| Нет CVE | Microsoft Live Preview | — | 11M+ | One-Click XSS с последующей полной эксфильтрацией файлов | Исправлено в v0.4.16+ (без CVE) | — |
Последствия и отсутствие реакции разработчиков
При эксплуатации данных уязвимостей на машине с запущенным локальным сервером (localhost) возникает высокий риск перехвата управления системой. Основные векторы атак включают:
-
Горизонтальное перемещение (Lateral movement) по подключенным сетям.
-
Эксфильтрацию данных и компрометацию всего рабочего окружения.
Специалисты OX Security уведомили разработчиков расширений об угрозах еще в июле и августе 2025 года, используя электронную почту, GitHub и социальные сети. На текущий момент никто из мейнтейнеров (за исключением Microsoft, выпустившей тихий патч для своего продукта) не ответил на запросы и не устранил уязвимости. Текущая модель безопасности расширений, по мнению экспертов, не предусматривает механизмов ответственности и стимулов для своевременного выпуска исправлений.
Рекомендации по защите
В условиях отсутствия официальных патчей для большинства указанных расширений эксперты рекомендуют придерживаться следующих правил:
-
Не открывать ненадежный HTML-контент при запущенных локальных серверах.
-
Избегать запуска серверов на localhost без крайней необходимости.
-
Отказаться от применения непроверенных конфигураций и вставки фрагментов кода в глобальный файл
settings.jsonиз внешних источников. -
Ограничить список используемых расширений, удалив или отключив те, которые не требуются для текущих задач, чтобы сократить поверхность атаки.
-
Настроить локальный межсетевой экран для ограничения входящих и исходящих соединений служб разработки.
Угрозы безопасности
• Критические уязвимости в расширениях для VS Code, Cursor и Windsurf: отчет OX Security
• Шифровальщик LockBit 5.0 получил инструменты обхода защиты и поддержку Windows, Linux и ESXi
• Облачные менеджеры паролей Bitwarden, LastPass, Dashlane и 1Password уязвимы перед компрометацией сервера
• Новая атака ClickFix использует утилиту nslookup для доставки PowerShell-нагрузки через DNS
• Расширение VK Styles для Chrome перехватывало управление профилями в соцсети VK
• Google: хакеры используют Gemini AI на всех этапах кибератак