128 millones de descargas y una brecha de seguridad: detectan vulnerabilidades críticas en extensiones populares de VS Code
Expertos advierten que herramientas para desarrolladores pueden facilitar el acceso no autorizado a redes corporativas.
Extensiones populares para Visual Studio Code, que en conjunto se descargaron más de 128 millones de veces, resultaron ser vulnerables a ataques de exfiltración de archivos locales y ejecución remota de código. Se detectaron problemas en varias extensiones conocidas que los desarrolladores usan a diario.
Las vulnerabilidades afectan a las extensiones Code Runner, Markdown Preview Enhanced y Microsoft Live Preview. Se les asignaron los identificadores CVE-2025-65715, CVE-2025-65716 y CVE-2025-65717, otra vulnerabilidad aún no tiene número. Fueron descubiertas por la empresa Ox Security, que se dedica a la seguridad de aplicaciones. Según los investigadores, intentaron contactar con los mantenedores de las extensiones desde junio de 2025, pero no obtuvieron respuesta.
Las extensiones de Visual Studio Code amplían notablemente las capacidades del entorno de desarrollo. Añaden soporte para lenguajes de programación, herramientas de depuración y otras funciones. Al hacerlo, estos módulos obtienen amplio acceso al entorno de trabajo, incluidos archivos, terminal y recursos de red. Si contienen errores, esto abre la posibilidad de atacar el equipo del desarrollador y la red interna de la empresa.
La vulnerabilidad más grave, identificada como CVE-2025-65717, está relacionada con el mecanismo de vista previa y afecta a la extensión Live Server, que se ha descargado más de 72 millones de veces. Un atacante puede inducir a la víctima a abrir una página preparada y, a través de ella, acceder a los archivos locales.
La vulnerabilidad CVE-2025-65715 en Code Runner, instalado más de 37 millones de veces, permite la ejecución remota de código arbitrario. Para ello, el atacante debe persuadir al usuario para que inserte un fragmento de configuración malicioso en el archivo settings.json. Tras el cambio de configuración, la extensión comienza a ejecutar los comandos del atacante.
Otro problema, CVE-2025-65716, fue detectado en Markdown Preview Enhanced, que tiene alrededor de 8,5 millones de instalaciones. Mediante un archivo Markdown especialmente preparado se puede ejecutar código JavaScript malicioso durante la vista previa del documento.
Se describe por separado una vulnerabilidad XSS con ejecución de acciones con un solo clic en Microsoft Live Preview en versiones anteriores a la 0.4.16. Permite leer archivos sensibles en la máquina del desarrollador. Esta extensión fue instalada por más de 11 millones de usuarios.
Los errores señalados afectan no solo a Visual Studio Code, sino también a entornos de desarrollo compatibles como Cursor y Windsurf, que usan las mismas extensiones.
Ox Security advierte que tales vulnerabilidades permiten al atacante asentarse en la red interna, moverse entre sistemas y exfiltrar datos, incluidas las claves de acceso a interfaces de programación y archivos de configuración internos. Se recomienda a los desarrolladores no ejecutar servidores web locales sin necesidad, no abrir archivos HTML no verificados mientras los servidores están en funcionamiento y no aplicar fragmentos de configuración de terceros. También es más seguro eliminar extensiones innecesarias e instalar complementos solo de desarrolladores conocidos, comprobando que los parámetros del entorno no hayan cambiado sin motivo.