Failles critiques dans des extensions VS Code exposent 128 millions d’environnements développeurs
Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur. • Extensions et vulnérabilités clés CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes. (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security. • Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière. ...