Vulnerabilidades classificadas como de alta a crítica em extensões populares do Visual Studio Code (VSCode), que juntas acumulam mais de 128 milhões de downloads, podem ser exploradas para roubo de arquivos locais e execução remota de código.
As falhas afetam as extensões Live Server (
CVE-2025-65715
), Code Runner (
CVE-2025-65716
), Markdown Preview Enhanced (
CVE-2025-65717
) e Microsoft Live Preview (sem identificador atribuído).
Essas vulnerabilidades foram identificadas por pesquisadores da empresa de segurança Ox Security, que tentaram reportá-las desde junho de 2025, mas, segundo eles, não receberam resposta dos mantenedores.
As extensões do VSCode funcionam como complementos que ampliam as funcionalidades do IDE da Microsoft, adicionando suporte a linguagens, ferramentas de depuração, temas e opções de personalização.
Elas operam com amplo acesso ao ambiente local de desenvolvimento, incluindo arquivos, terminais e recursos de rede.
A Ox Security divulgou relatórios detalhados sobre cada vulnerabilidade e alertou que manter essas extensões instaladas pode expor ambientes corporativos a movimentos laterais na rede, exfiltração de dados e até controle total do sistema.
Um exemplo crítico é a falha
CVE-2025-65717
no Live Server, com mais de 72 milhões de downloads, que permite a exfiltração de arquivos locais ao induzir o usuário a acessar uma página web maliciosa.
Já a vulnerabilidade
CVE-2025-65715
na extensão Code Runner, baixada 37 milhões de vezes, possibilita a execução remota de código ao modificar o arquivo de configuração da extensão.
Um atacante pode explorar essa falha ao convencer a vítima a colar ou aplicar um trecho malicioso no arquivo global settings.json.
Com gravidade alta, avaliada em 8,8, a
CVE-2025-65716
afeta o Markdown Preview Enhanced, que acumula 8,5 milhões de downloads, e permite a execução de JavaScript a partir de arquivos Markdown maliciosos.
Além disso, pesquisadores identificaram uma vulnerabilidade de XSS com um clique na extensão Microsoft Live Preview em versões anteriores à 0.4.16, capaz de acessar arquivos sensíveis na máquina do desenvolvedor.
Essa extensão possui mais de 11 milhões de downloads.
Essas falhas também impactam os IDEs alternativos Cursor e Windsurf, compatíveis com VSCode e baseados em inteligência artificial.
O relatório da Ox Security destaca que a exploração dessas vulnerabilidades pode permitir que agentes maliciosos se movimentem lateralmente na rede, além de capturar informações sensíveis, como chaves de API e arquivos de configuração.
Os desenvolvedores são aconselhados a evitar rodar servidores localhost sem necessidade, não abrir arquivos HTML suspeitos durante a execução desses servidores e não aplicar configurações não confiáveis nem colar snippets desconhecidos no settings.json.
Também é recomendada a remoção de extensões desnecessárias, a instalação apenas de complementos provenientes de editores confiáveis e o monitoramento de alterações inesperadas nas configurações.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...