Cybersecurity researchers ने चार पॉपुलर Microsoft Visual Studio Code (VS Code) एक्सटेंशन में कई सिक्योरिटी कमज़ोरियों का खुलासा किया है, जिनका अगर सफलतापूर्वक फ़ायदा उठाया गया, तो थ्रेट एक्टर्स लोकल फ़ाइलें चुरा सकते हैं और रिमोटली कोड चला सकते हैं।
ये एक्सटेंशन, जिन्हें कुल मिलाकर 125 मिलियन से ज़्यादा बार इंस्टॉल किया गया है, वे हैं Live Server, Code Runner, Markdown Preview Enhanced, और Microsoft Live Preview।
कमजोरियों की जानकारी इस तरह है -
CVE-2025-65717 (CVSS स्कोर: 9.1) - लाइव सर्वर में एक कमजोरी जो अटैकर्स को लोकल फाइलों को एक्सफिल्ट्रेट करने देती है, जिससे डेवलपर को धोखा मिलता है कि जब एक्सटेंशन चल रहा हो तो वह किसी खराब वेबसाइट पर चला जाए, जिससे पेज में एम्बेडेड JavaScript लोकल डेवलपमेंट HTTP सर्वर से फाइलों को क्रॉल और एक्सट्रैक्ट कर सके, जो localhost:5500 पर चलता है, और उन्हें उनके कंट्रोल वाले डोमेन पर भेज सके। (पैच नहीं किया गया है)
CVE-2025-65716 (CVSS स्कोर: 8.8) - मार्कडाउन प्रीव्यू एन्हांस्ड में एक कमजोरी जो अटैकर्स को एक क्राफ्टेड मार्कडाउन (.md) फाइल अपलोड करके कोई भी JavaScript कोड एग्जीक्यूट करने देती है, जिससे उनके कंट्रोल वाले डोमेन पर लोकल पोर्ट एन्यूमरेशन और एक्सफिल्ट्रेशन की सुविधा मिलती है। (पैच नहीं किया गया)
CVE-2025-65715 (CVSS स्कोर: 7.8) - कोड रनर में एक वल्नरेबिलिटी जो अटैकर्स को फ़िशिंग या सोशल इंजीनियरिंग के ज़रिए यूज़र को "settings.json" फ़ाइल में बदलाव करने के लिए मनाकर कोई भी कोड एग्जीक्यूट करने देती है। (पैच नहीं किया गया)
Microsoft Live Preview में एक वल्नरेबिलिटी अटैकर्स को डेवलपर की मशीन पर सेंसिटिव फ़ाइलों को एक्सेस करने देती है, जब एक्सटेंशन चल रहा हो, तो विक्टिम को किसी मैलिशियस वेबसाइट पर जाने के लिए धोखा देकर, जो फिर लोकलहोस्ट को टारगेट करके सेंसिटिव फ़ाइलों को एन्यूमरेट और एक्सफ़िल्ट्रेट करने के लिए खास तौर पर तैयार किए गए JavaScript रिक्वेस्ट को इनेबल करता है। (कोई CVE नहीं, सितंबर 2025 में रिलीज़ हुए वर्शन 0.4.16 में Microsoft द्वारा साइलेंटली फ़िक्स किया गया)
OX सिक्योरिटी ने कहा, "खराब तरीके से लिखे गए एक्सटेंशन, बहुत ज़्यादा परमिसिव एक्सटेंशन, या मैलिशियस एक्सटेंशन कोड एक्ज़ीक्यूट कर सकते हैं, फ़ाइलों को मॉडिफ़ाई कर सकते हैं, और अटैकर्स को मशीन पर कब्ज़ा करने और जानकारी निकालने की इजाज़त दे सकते हैं।" "किसी मशीन पर वल्नरेबल एक्सटेंशन इंस्टॉल रखना किसी ऑर्गनाइज़ेशन की सिक्योरिटी के लिए तुरंत खतरा है: सब कुछ कॉम्प्रोमाइज़ करने के लिए सिर्फ़ एक क्लिक, या डाउनलोड की गई रिपॉजिटरी का इस्तेमाल किया जा सकता है।"