世界中で1億回以上インストールされたVS Code拡張機能に重大な脆弱性が見つかった。悪用されればローカルファイルの窃取や任意コード実行が可能となり、開発者の端末から組織全体へ侵害が拡大する恐れがある。未修正の欠陥も残る。
対象はLive Server、Code Runner、Markdown Preview Enhanced、Microsoft Live Previewの4拡張で、研究者は1つの悪意ある拡張や単一の欠陥でも横展開が可能だと警告した。CVE-2025-65717はLive Serverに存在し、localhost:5500で動作する開発用サーバーからファイルを窃取できる。CVE-2025-65716はMarkdown Preview Enhancedで細工された.mdファイルにより任意のJavaScript実行が可能となる。CVE-2025-65715はCode Runnerで設定ファイル改変を通じたコード実行を許す。Microsoft Live Previewにも類似の問題があり、バージョン0.4.16で修正されたがCVEは付与されていない。対策として不要な拡張の削除、未信頼設定の回避、拡張の更新、未使用時のlocalhostサービス停止などが求められている。
