4つの脆弱性のうち3つは、OX Securityが保守者に報告してから数カ月経ってもパッチが当たっていない。
広く使用されている4つのVisual Studio Code拡張機能で重大および高度な脆弱性が発見され、合計1億2800万のダウンロード数を持つこれらの拡張機能により、開発者はファイル盗難、リモートコード実行、ローカルネットワーク偵察にさらされている。
アプリケーションセキュリティ企業OX Securityは今週これらの発見を公開し、2025年6月から開発者への通知を開始したが、4人の保守者のうち3人から応答がなかったと述べている。
3つのCVE、CVE-2025-65717、CVE-2025-65715、およびCVE-2025-65716は、正式に割り当てられ、2月16日に公開された。
VS Code拡張機能は、Microsoftの広く使用されているコードエディタの機能を拡張するアドオンであり、言語サポート、デバッグツール、ライブプレビュー、コード実行などの機能を追加する。これらは、ローカルファイル、ターミナル、およびネットワークリソースへの広範なアクセス権で実行されるため、これらの脆弱性は深刻な影響をもたらす。
脅威アクターがVS Codeマーケットプレイスに繰り返し埋め込んでいる不正な拡張機能とは異なり、これらの欠陥は正当で広くインストールされているツールに存在していたため、開発者がそれらを疑う理由がなかった。OX Securityは勧告で述べている。
「当社の研究は、ハッカーが1つの悪意のある拡張機能、または1つの拡張機能内の単一の脆弱性を必要とするだけで、横方向への移動を実行し、組織全体を危険にさらすことができることを示しています」と勧告は付け加えている。
これらの脆弱性はまた、VS Codeの拡張機能インフラストラクチャ上に構築されたAI搭載IDE、CursorおよびWindsurfにも影響を与えた。
OX Securityは各欠陥に対する個別の勧告を公開し、それぞれがどのように悪用されるか、および攻撃者が何を達成できるかについて詳述している。
攻撃がどのように機能したか
最も深刻な欠陥であるCVE-2025-65717(重大)は、Live Server(7200万ダウンロード拡張機能)に存在していた。これはリアルタイムブラウザプレビューのためのローカルHTTPサーバーを起動する。OX Securityは、サーバーが開発者が訪問したあらゆるウェブページから到達可能であることを発見した。独自のブラウザからだけではない。
「攻撃者は、Live Serverがバックグラウンドで実行されている間、被害者に悪意のあるリンクを送信する必要があるだけです」とOX Securityの研究者Moshe Siman Tov BustanおよびNir Zadokが勧告で述べている。
CVE-2025-65715(高度な重大度)は、Code Runner(3700万ダウンロード)に影響を与えた。この拡張機能はグローバル設定ファイルから実行コマンドを読み取り、OX Securityはリバースシェルを含む任意のコード実行をトリガーするのに十分な細工されたエントリを発見した。攻撃者は、開発者をフィッシングして悪意のあるスニペットを貼り付けさせたり、ファイルを静かに変更した侵害された拡張機能を通じてそれを配置できた。
CVE-2025-65716(CVSS 8.8)は、Markdown Preview Enhanced(850万ダウンロード)に影響を与えた。信頼されていないMarkdownファイルを開くだけで十分だった。「悪意のあるMarkdownファイルは、被害者のマシン上のオープンポートに関する情報を収集するスクリプトまたは埋め込みコンテンツをトリガーする可能性があります」と研究者は述べた。
Microsoftは独自の拡張機能を静かにパッチした
第4の脆弱性は異なる方法で展開された。Microsoftの Live Preview拡張機能(1100万ダウンロード)にはクロスサイトスクリプティング欠陥が含まれていた。OX Securityによると、これは悪意のあるウェブページが開発者のマシンのルートファイルを列挙し、認証情報、アクセスキー、およびその他のシークレットを流出させることを許可していた。
研究者は8月7日にこの問題をMicrosoftに報告した。Microsoftは最初、必要なユーザーインタラクションを引き合いに出して、これを低度の重大度として評価していた。
「しかし、2025年9月11日に、当社に通知することなく、Microsoftは当社が報告したXSSセキュリティ問題に対応するパッチを静かにリリースしました。当社は最近、このパッチがデプロイされていたことを発見しました」と研究者は付け加えた。
この脆弱性にはCVEは割り当てられなかった。「Live Previewがインストールされているユーザーは、バージョン0.4.16以降に直ちに更新する必要があります」と研究者は提案した。
Microsoftはコメント要求にすぐには対応しなかった。
まとめると、4つの欠陥は、開発者ツールがどのようにセキュアに保たれ、保守されているかについてのより広い問題を指摘していた。
セキュリティチームが実施すべきこと
「これらの脆弱性は、IDEが組織のサプライチェーンセキュリティにおける最も弱いリンクであることを確認しています」とOX Securityの研究者は勧告で述べた。
開発者ワークステーションは、ルーチン的にAPIキー、クラウド認証情報、データベース接続文字列、およびSSHキーを保持する。OX Securityは、単一のマシンからの成功した流出が、攻撃者に組織のより広いインフラストラクチャへのアクセスを与える可能性があり、リスクが横方向への移動とシステム全体の乗っ取りに拡張されることを警告した。
研究者は、開発者にアクティブに使用されていない拡張機能を無効化し、ローカルホストサーバーが実行されている間に信頼されていないサイトを閲覧することを避けるようにアドバイスした。また、検証されていないソースからVS Codeのグローバル設定に設定スニペットを適用することに対して警告した。
