Selon un article publié le 19 février 2026, des vulnérabilités graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode).

Des vulnérabilités hautes à critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre à un attaquant de voler des fichiers locaux et/ou d’exécuter du code à distance.
Les extensions concernées totalisent plus de 128 millions de téléchargements.

Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks
https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/

🎯 Extensions impactées / CVE

  • Code RunnerCVE-2025-65715

    • ~37M téléchargements
    • Impact : exécution de code à distance (RCE) via modification de configuration (ex. settings.json)
    • Vecteur : inciter la cible à coller/appliquer une configuration malveillante.

  • Markdown Preview EnhancedCVE-2025-65716

    • ~8,5M téléchargements
    • Score : 8,8 (High)
    • Impact : exécution de JavaScript via fichier Markdown piégé.

  • Markdown Preview EnhancedCVE-2025-65717 (mentionné comme critique dans l’article)

    • Impact rapporté : vol de fichiers locaux via interaction avec une page malveillante (attaque orientée navigateur / preview).

  • Microsoft Live Preview(pas d’identifiant CVE attribué)

    • Versions : avant 0.4.16
    • Impact : vulnérabilité XSS one-click permettant l’accès à des fichiers sensibles sur la machine.
    • ~11M téléchargements

⚠️ Les extensions VSCode disposent souvent d’un accès important à l’environnement local (fichiers, terminal, réseau), ce qui augmente fortement le risque en cas d’exploitation.

🧠 TTPs observables (haut niveau)

  • Social engineering / User interaction
    • incitation à ouvrir un fichier Markdown malveillant
    • incitation à visiter une page web malveillante pendant qu’un service localhost tourne
    • incitation à coller une config/snipppet dans settings.json
  • Abus de prévisualisation (Preview)
    • rendu HTML/JS dans les panneaux de preview (XSS / injection)
  • Collecte d’informations / Exfiltration
    • lecture de fichiers locaux (configs, secrets, clés API)
    • potentiel de pivot et mouvement latéral via secrets récupérés

🧷 IoCs

Aucun IoC technique (domaines, IP, hash) n’est fourni dans le contenu partagé.
➡️ À surveiller côté environnement :

  • changements inattendus dans settings.json
  • ouverture de previews Markdown/HTML non fiables
  • comportements anormaux d’extensions (accès fichiers, réseau)
  • exfiltration potentielle de secrets (API keys, tokens, .env, fichiers de config)

🛡️ Recommandations

  • Désinstaller les extensions inutiles et privilégier des éditeurs réputés.
  • Éviter d’ouvrir des fichiers Markdown/HTML provenant de sources non fiables.
  • Éviter d’exécuter des serveurs localhost (live preview/live server) si non nécessaire.
  • Ne pas coller/appliquer de snippets inconnus dans settings.json.
  • Mettre en place une surveillance des modifications de configuration VSCode (et des dépôts de config partagés).
  • Contrôler et limiter l’accès des environnements dev aux secrets (vault, rotation, permissions minimales).

Les extensions concernées, largement utilisées par la communauté de développeurs, exposent potentiellement les machines des utilisateurs à des compromissions locales et à des prises de contrôle à distance si les vulnérabilités sont exploitées.

Conclusion — Type d’article : alerte de vulnérabilité visant à informer sur des failles critiques affectant des extensions VSCode et leurs impacts possibles.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/