Failles critiques dans des extensions VS Code exposent 128 millions dâenvironnements dĂ©veloppeurs
Selon CyberSecurityNews.com (20 fĂ©vrier 2026), lâĂ©quipe OX Security Research a identifiĂ© trois vulnĂ©rabilitĂ©s critiques dans quatre extensions Visual Studio Code trĂšs rĂ©pandues, confirmĂ©es aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de tĂ©lĂ©chargements, rĂ©vĂ©lant un angle mort de la chaĂźne dâapprovisionnement logicielle: la machine du dĂ©veloppeur. âą Extensions et vulnĂ©rabilitĂ©s clĂ©s CVE-2025-65717 â Live Server (CVSS 9.1, 72M+ tĂ©lĂ©chargements) : exfiltration de fichiers Ă distance via la fonctionnalitĂ© localhost. Versions affectĂ©es: toutes. CVE-2025-65715 â Code Runner (CVSS 7.8, 37M+ tĂ©lĂ©chargements) : exĂ©cution de code Ă distance (RCE). Versions affectĂ©es: toutes. CVE-2025-65716 â Markdown Preview Enhanced (CVSS 8.8, 8.5M+ tĂ©lĂ©chargements) : exĂ©cution JavaScript menant Ă scan de ports locaux et exfiltration de donnĂ©es. Versions affectĂ©es: toutes. (Sans CVE) Microsoft Live Preview (11M+ tĂ©lĂ©chargements) : XSS en un clic permettant exfiltration complĂšte des fichiers de lâIDE, corrigĂ©e discrĂštement en v0.4.16+ sans attribution publique Ă OX Security. âą Contexte et impact Les extensions dâIDE opĂšrent avec des permissions proches de lâadministrateur, pouvant exĂ©cuter du code, lire/modifier des fichiers et communiquer sur le rĂ©seau local sans alerter les contrĂŽles classiques. Selon OX Security, une seule extension malveillante ou vulnĂ©rable peut suffire Ă permettre des mouvements latĂ©raux et compromettre une organisation entiĂšre. ...