Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements.
L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle.
Vulnérabilités identifiées
| CVE | Extension | Score CVSS | Type de vulnérabilité | Versions affectées |
|---|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | Exfiltration de fichiers locaux | Toutes versions |
| CVE-2025-65715 | Code Runner | 7.8 | Exécution de code à distance (RCE) | Toutes versions |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | Exécution JavaScript menant à exfiltration de données | Toutes versions |
| N/A | Microsoft Live Preview | N/A | XSS permettant accès aux fichiers IDE | < 0.4.16 |
Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation.
Produits concernés: extensions VS Code (4). Portée: >128 M de téléchargements. Nature: vulnérabilités critiques avec CVE attribués.
Type d’article: un article d’actualité spécialisé mettant en avant des failles de sécurité et leur impact potentiel sur les environnements de développement.
🔗 Source originale : https://gbhackers.com/128m-vs-code-extension-flaws/
🖴 Archive : https://web.archive.org/web/20260226082310/https://gbhackers.com/128m-vs-code-extension-flaws/