Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad en cuatro extensiones populares de Microsoft Visual Studio Code (VS Code) que, si se explotan con éxito, podrían permitir a los actores de amenazas robar archivos locales y ejecutar código de forma remota.
Las extensiones, que se han instalado colectivamente más de 125 millones de veces, son Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview.
«Nuestra investigación demuestra que un hacker necesita sólo una extensión maliciosa, o una única vulnerabilidad dentro de una extensión, para realizar un movimiento lateral y comprometer organizaciones enteras», dijeron los investigadores de OX Security Moshe Siman Tov Bustan y Nir Zadok en un informe compartido con The Hacker News.
Los detalles de las vulnerabilidades son los siguientes:
- CVE-2025-65717 (Puntuación CVSS: 9.1): una vulnerabilidad en Live Server que permite a los atacantes filtrar archivos locales, engañando a un desarrollador para que visite un sitio web malicioso cuando la extensión se está ejecutando, lo que provoca que JavaScript incrustado en la página rastree y extraiga archivos del servidor HTTP de desarrollo local que se ejecuta en localhost:5500 y los transmita a un dominio bajo su control. (Permanece sin parchear)
- CVE-2025-65716 (Puntuación CVSS: 8,8): una vulnerabilidad en Markdown Preview Enhanced que permite a los atacantes ejecutar código JavaScript arbitrario cargando un archivo Markdown (.md) diseñado, lo que permite la enumeración de puertos locales y la exfiltración a un dominio bajo su control. (Permanece sin parchear)
- CVE-2025-65715 (Puntuación CVSS: 7,8): una vulnerabilidad en Code Runner que permite a los atacantes ejecutar código arbitrario convenciendo a un usuario para que modifique el archivo «settings.json» mediante phishing o ingeniería social. (Permanece sin parchear)
- Una vulnerabilidad en Microsoft Live Preview permite a los atacantes acceder a archivos confidenciales en la máquina de un desarrollador engañando a la víctima para que visite un sitio web malicioso cuando la extensión se está ejecutando, lo que luego permite solicitudes de JavaScript especialmente diseñadas dirigidas al host local para enumerar y filtrar archivos confidenciales. (Sin CVE, solucionado silenciosamente por Microsoft en la versión 0.4.16 lanzada en septiembre de 2025)
Para proteger el entorno de desarrollo, es esencial evitar la aplicación de configuraciones que no sean de confianza, deshabilitar o desinstalar extensiones no esenciales, reforzar la red local detrás de un firewall para restringir las conexiones entrantes y salientes, actualizar periódicamente las extensiones y desactivar los servicios basados en el host local cuando no estén en uso.
«Las extensiones mal escritas, las extensiones demasiado permisivas o las maliciosas pueden ejecutar código, modificar archivos y permitir que los atacantes se apoderen de una máquina y extraigan información», dijo OX Security. «Mantener extensiones vulnerables instaladas en una máquina es una amenaza inmediata a la postura de seguridad de una organización: puede ser necesario sólo un clic, o un repositorio descargado, para comprometer todo».