Oppdagelse av fire kritiske sikkerhetssårbarheter i populære VSCode IDE-utvidelser.
Oppdagelse av fire kritiske sikkerhetssårbarheter i populære VSCode IDE-utvidelser
OX Security fant fire sikkerhetssårbarheter i populære IDE-utvidelser som blir aktivt brukt av millioner av brukere. Disse sårbarhetene påvirker særlig Visual Studio Code-utvidelser, men også mot andre VSCode-kompatible IDEer som Cursor og Windsurf. Forskerne påpekte at IDE-utvidelser ofte har høy tillit og bred tilgang til utviklerens lokale filer og system, noe som gjør dem til et stort sikkerhetsproblem hvis de inneholder feil.
Tre av utvidelsene har blitt tildelt offisielle CVE-identifikatorer (CVE-2025-65717, CVE-2025-65715, og CVE-2025-65716), mens den fjerde ble fikset i en oppdatering uten at noe CVE ble tilordnet. CVE-2025-65717 gjelder utvidelsen Live Server og gir mulighet for eksfiltrasjon av lokale filer når utvidelsen kjører en lokal server. CVE-2025-65715 gjelder utvidelsen Code Runner og kan føre til fjernkjøring av kode ved kommandoinjeksjon av inputs i konfigurasjonsfiler. CVE-2025-65716 gjelder utvidelsen Markdown Preview Enhanced som gir mulighet for å kjøre JavaScript som kan skanne porter og potensielt stjele data.
Det anbefales generelt å deaktivere eller slette utvidelser som enten ikke er nødvendige eller har kjente kritiske sårbarheter. I tillegg, anbefaler Ox å unngå å åpne uklarert HTML mens localhost-servere kjører, kjøre servere på localhost, og å bruke uklarerte konfigurasjoner. For flere anbefalinger, se den refererte rapporten til Ox.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.