Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur.

• Extensions et vulnérabilités clés

  • CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes.
  • CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes.
  • CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes.
  • (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security.

• Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière.

• Divulgation et réponse OX Security a effectué une divulgation responsable en juillet et août 2025 (email, GitHub, réseaux sociaux). À la date de publication, aucun mainteneur n’a répondu, ce qui met en lumière l’absence d’un cadre d’obligation pour la sécurité des extensions dans les marketplaces d’IDE.

• Recommandations publiées par OX Security

  • Auditer immédiatement les extensions installées et supprimer les non essentielles.
  • Ne pas laisser des serveurs localhost actifs inutilement.
  • Éviter d’ouvrir des fichiers HTML non fiables quand un serveur localhost est actif.
  • Ne pas modifier des fichiers de configuration comme settings.json avec des extraits issus d’emails, chats ou dépôts non vérifiés.
  • Au niveau des plateformes: revues de sécurité obligatoires avant mise en marketplace, scans automatisés par IA des nouvelles soumissions, délais de correctifs imposés aux mainteneurs d’extensions à forte diffusion. ⚠️

• IOCs et TTPs

  • IOCs: aucun indicateur de compromission fourni.
  • TTPs: exfiltration de fichiers via serveur localhost; XSS menant à exfiltration de fichiers IDE; exécution JavaScript dans l’aperçu Markdown avec scan de ports locaux et exfiltration; RCE via exécution de code par extension; abus d’extensions opérant avec larges permissions système.

Type d’article: rapport de vulnérabilité destiné à informer sur des failles critiques d’extensions d’IDE et à promouvoir un renforcement des contrôles de sécurité sur les marketplaces.

🧠 TTPs et IOCs détectés

TTP

exfiltration de fichiers via serveur localhost; XSS menant à exfiltration de fichiers IDE; exécution JavaScript dans l’aperçu Markdown avec scan de ports locaux et exfiltration; RCE via exécution de code par extension; abus d’extensions opérant avec larges permissions système

IOC

aucun indicateur de compromission fourni

🔗 Source originale : https://cybersecuritynews.com/popular-vs-code-extensions-vulnerability/