En mai 2025, une publication de la société Starlabs révèle une vulnérabilité critique dans Visual Studio Code (VS Code version <= 1.89.1) qui permet une escalade d’un bug XSS en exécution de code à distance (RCE), même en mode restreint.
VS Code, qui fonctionne sur Electron, utilise des processus de rendu en bac à sable communiquant avec le processus principal via le mécanisme IPC d’Electron. La faille réside dans le mode de rendu minimal des erreurs récemment introduit pour les notebooks Jupyter, permettant l’exécution de code JavaScript arbitraire dans le WebView de l’application VS Code pour le rendu des notebooks.
Cette vulnérabilité peut être exploitée en ouvrant un fichier .ipynb spécialement conçu si l’utilisateur a activé le paramètre concerné, ou en ouvrant un dossier contenant un fichier settings.json malveillant dans VS Code, puis en ouvrant un fichier ipynb malveillant dans le dossier. Même en mode restreint, cette faille peut être activée, mode qui est par défaut pour les espaces de travail non explicitement approuvés par l’utilisateur.
L’article présente une analyse technique de la faille et explique comment elle contourne le mode restreint de VS Code.
Illustration d’un écran d’ordinateur avec Visual Studio Code ouvert
🔗 Source originale : https://starlabs.sg/blog/2025/05-breaking-out-of-restricted-mode-xss-to-rce-in-visual-studio-code/