Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades de seguridad en cuatro populares extensiones de Microsoft Visual Studio Code (VS Code) que, si se explotan con éxito, podrían permitir a los actores de amenazas robar archivos locales y ejecutar código de forma remota.

Las extensiones, que en conjunto se han instalado más de 125 millones de veces, son Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview.

«Nuestra investigación demuestra que un hacker solo necesita una extensión maliciosa, o una sola vulnerabilidad dentro de una extensión, para realizar movimientos laterales y comprometer a organizaciones enteras», dijeron los investigadores de OX Security Moshe Siman, Tov Bustan y Nir Zadok. dijo en un informe compartido con The Hacker News.

adsense

Los detalles de las vulnerabilidades son los siguientes -

  • CVE-2025-65717 (Puntuación CVSS: 9.1): una vulnerabilidad en Live Server que permite a los atacantes filtrar archivos locales, lo que engaña a un desarrollador para que visite un sitio web malintencionado cuando se ejecuta la extensión, lo que provoca que el JavaScript integrado en la página rastree y extraiga archivos del servidor HTTP de desarrollo local que se ejecuta en localhost:5500 y los transmita a un dominio bajo su control. (Permanece sin parches)
  • CVE-2025-65716 (Puntuación CVSS: 8,8): una vulnerabilidad en Markdown Preview Enhanced que permite a los atacantes ejecutar código JavaScript arbitrario cargando un archivo Markdown (.md) diseñado, lo que permite la enumeración de puertos locales y la exfiltración a un dominio bajo su control. (Permanece sin parches)
  • CVE-2025-65715 (Puntuación CVSS: 7,8): una vulnerabilidad en Code Runner que permite a los atacantes ejecutar código arbitrario al convencer al usuario de que modifique el archivo «settings.json» mediante suplantación de identidad o ingeniería social. (Permanece sin parches)
  • UN vulnerabilidad en Microsoft Live Preview permite a los atacantes acceder a archivos confidenciales de la máquina de un desarrollador engañando a la víctima para que visite un sitio web malintencionado cuando la extensión está en ejecución, lo que permite realizar solicitudes de JavaScript especialmente diseñadas dirigidas al host local para enumerar y filtrar archivos confidenciales. (Sin CVE, corregido silenciosamente por Microsoft en versión 0.4.16 publicado en septiembre de 2025)

Para proteger el entorno de desarrollo, es esencial evitar la aplicación de configuraciones que no sean de confianza, deshabilitar o desinstalar extensiones no esenciales, reforzar la red local detrás de un firewall para restringir las conexiones entrantes y salientes, actualizar periódicamente las extensiones y desactivar los servicios basados en localhost cuando no estén en uso.

«Las extensiones mal escritas, demasiado permisivas o maliciosas pueden ejecutar código, modificar archivos y permitir a los atacantes apoderarse de una máquina y filtrar información», afirma OX Security. «Mantener las extensiones vulnerables instaladas en un equipo supone una amenaza inmediata para la seguridad de una organización: es posible que baste con un clic, o descargar un repositorio, para ponerlo todo en peligro».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.