OX Securityの研究者は、サイバー攻撃につながる可能性がある最も人気のある3つの統合開発環境(IDE)の4つの脆弱性を検出しました。
2月17日に公開されたレポートで、OX Securityはマイクロソフト Visual Studio Code(VS Code)に影響を与える、高い重大度2件と重大度1件を含む4つの新しい脆弱性の詳細を共有しました。
これらの脆弱性はCursorとWindsurfにも影響を与えます。これらはVS Codeの2つのフォークで、AI支援ソフトウェア開発ツール(別称『vibe coding』プラットフォーム)を提供しています。
影響を受ける拡張機能は合計で1億2,800万回以上ダウンロードされました。
研究者は、2025年7月と8月にこれらのプラットフォームの保守管理者に直接メール、GitHubページ、ソーシャルネットワークなど複数のチャネルを通じて脆弱性を開示したにもかかわらず、誰からも応答がまだないと警告しました。
3つの脆弱性はMITREが2月16日に開示し、共通脆弱性識別子(CVE)が割り当てられました。
VS Codeと『Vibe Coding』フォークに影響を与える脆弱性
- CVE-2025-65717(CVSS v3.1スコア:9.1)はVS CodeのLive Server拡張機能の脆弱性で、7,200万回以上のダウンロード数があり、リモートの認証されていない攻撃者が開発者のローカルマシンからファイルを流出させることを許可します。OX Securityは、Live Serverがバックグラウンドで実行されている間に、攻撃者は単に悪意のあるリンクを被害者に送るだけでこの脆弱性を悪用できると警告しました。
- CVE-2025-65716(CVSS v3.1スコア:8.8)はMarkdown Preview Enhancedの脆弱性で、VS Code拡張機能で850万回以上のダウンロード数があり、より豊かなMarkdown作成体験を提供するよう設計されています。MarkdownファイルがHTMLタグをプレビューする方法を悪用して任意のJavaScriptコードを実行することを攻撃者に許可し、localhostと通信でき、悪意を持って作成されたMarkdownファイルが現在のローカルネットワークをスキャンしてリモートサーバーにデータを流出させることを可能にします。
- CVE-2025-65715(CVSS v3.1スコア:7.8)はCode Runnerの脆弱性で、3,700万回以上のダウンロード数がある拡張機能で、攻撃者がフィッシングまたはソーシャルエンジニアリングを通じてユーザーを説得して「settings.json」ファイルを変更させることにより、任意のコード(RCE)を実行することを許可します。
- Microsoft Live Previewの4番目の脆弱性(1,100万回以上のダウンロード数)では、拡張機能が実行されている場合に被害者を悪意のあるウェブサイトへの訪問へ誘導することで、攻撃者が開発者のマシン上の機密ファイルにアクセスでき、その後、localhostをターゲットとする特別に作成されたJavaScriptリクエストが機密ファイルを列挙して流出させることを可能にします。
OX Securityは最初の3つの脆弱性がパッチされないままであると主張していますが、研究者はマイクロソフトが2025年9月にリリースされたVS Codeのバージョン0.4.16で4番目を静かに修正したと述べました。MITREは4番目の脆弱性を開示せず、CVE識別子が割り当てられていません。
IDEユーザーへの推奨事項
OX Securityは、研究が悪意のあるハッカーが1つの拡張機能内の単一の脆弱性を悪用して、ラテラルムーブメントを実行し、組織全体を侵害する必要があることを示したと述べました。
これらの脆弱性は「現代的な開発セキュリティにおける重大な盲点を露出させる」と研究者は述べました。
「組織が本番環境の保護に多大な投資をしている一方で、開発者のローカルマシンは組織の最も機密性の高い資産への大部分が保護されていないゲートウェイのままです。」
OX Securityレポートは、IDEおよびvibe codingツールユーザーがそのような脆弱性を軽減するための2つの推奨事項セットを提供しました。
最初の推奨事項リストは、潜在的な悪用によって影響を受けることなく、影響を受ける拡張機能を使用し続けるための回避策の実装です:
- localhostサーバーが実行されている間は、信頼できないHTMLを開くのを避けてください。
- localhost上でサーバーを実行するのを避けてください。
- 信頼できないコンフィギュレーションの適用を避けてください。メール、チャット、または検証されていないソースからグローバルsettings.jsonにスニペットを貼り付けたり実行したりしないでください。
- 拡張機能のリスクを制限してください。信頼できる拡張機能のみをインストールし、settings.jsonを監視またはバックアップして予期しない変更を検出してください。
第2のリストでは、OX Security研究者はIDEを保護するためのいくつかの一般的なベストプラクティスについて説明しました:
- 不要な拡張機能を無効にするか、アンインストールしてください。
- よく設定されたローカルファイアウォールのようなセキュリティ管理を適用して、開発サービスのインバウンドおよびアウトバウンド接続を制限することによって、ローカルネットワークを強化してください。
- IDE、拡張機能、オペレーティングシステム、開発の依存関係を含むすべてのソフトウェアのセキュリティアップデートをすぐに適用できるようにする厳密なアップデートスケジュールを維持し、既知の脆弱性に素早く対応してください。
IDE拡張機能保守管理者への推奨事項
最後に、研究者は複数のチャネルを通じた数ヶ月の責任ある開示の試みにもかかわらず、拡張機能保守管理者からの応答不足を批判しました。
「これは体系的な問題を強調しています:拡張機能セキュリティの説明責任フレームワークがなく、重大な脆弱性の適切な修復を確保するためのインセンティブ構造がない」と彼らは付け加えました。
- アプリストアの審査と同様に、拡張機能がマーケットプレイスに公開される前に必須のセキュリティレビュープロセス。
- AI搭載セキュリティテストツールを使用した自動脆弱性スキャンで、新しい拡張機能が開発者に到達する前に分析する。
- 人気のある拡張機能の保守管理者に対する強制可能な応答要件、必須のCVE発行とパッチのタイムラインを含む。
翻訳元: https://www.infosecurity-magazine.com/news/vulnerabilities-vs-code-cursor/
