Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Пропусти во популарни VSCode екстензии ги изложуваат програмерите на напади

Објавено: 18.02.2026

Ранливости со висока до критична сериозност што ги погодуваат популарните екстензии за Visual Studio Code (VSCode), кои заедно се преземени повеќе од 128 милиони пати, можат да бидат искористени за кражба на локални датотеки и далечинско извршување на код.

Безбедносните проблеми ги засегаат Code Runner (CVE-2025-65715), Markdown Preview Enhanced (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) и Microsoft Live Preview (без доделен идентификатор).

Истражувачите од компанијата за апликативна безбедност Ox Security ги откриле пропустите и се обиделе да ги пријават уште од јуни 2025 година. Сепак, според нив, ниту еден од одржувачите не одговорил.

Далечинско извршување на код во IDE

VSCode екстензиите се додатоци што ја прошируваат функционалноста на интегрираната развојна околина (IDE) на Microsoft. Тие можат да додадат поддршка за програмски јазици, алатки за дебагирање, теми и други функционалности или опции за прилагодување.

Овие екстензии имаат значителен пристап до локалната развојна околина, вклучувајќи датотеки, терминали и мрежни ресурси.

Ox Security објави извештаи за секоја од откриените ранливости и предупреди дека користењето на ранливите екстензии може да ја изложи корпоративната средина на латерално движење на напаѓачите, ексфилтрација на податоци и преземање контрола врз системот.

Напаѓач кој ќе ја искористи критичната ранливост CVE-2025-65717 во екстензијата Live Server (со над 72 милиони преземања на VSCode) може да украде локални датотеки така што ќе ја насочи жртвата кон малициозна веб-страница.

Ранливоста CVE-2025-65715 во екстензијата Code Runner за VSCode, со 37 милиони преземања, овозможува далечинско извршување на код преку измена на конфигурациската датотека на екстензијата. Ова може да се постигне ако жртвата биде измамена да залепи или примени малициозен конфигурациски фрагмент во глобалната settings.json датотека.

Со висока оценка на сериозност од 8.8, CVE-2025-65716 ја засега Markdown Preview Enhanced (8.5 милиони преземања) и може да се искористи за извршување на JavaScript преку специјално изработена малициозна Markdown датотека.

Истражувачите од Ox Security откриле и one-click XSS ранливост во верзии на Microsoft Live Preview пред 0.4.16. Таа може да се искористи за пристап до чувствителни датотеки на компјутерот на програмерот. Екстензијата има повеќе од 11 милиони преземања на VSCode.

Пропустите во екстензиите се однесуваат и на Cursor и Windsurf, кои се алтернативни IDE околини компатибилни со VSCode и напојувани со вештачка интелигенција.

Во извештајот на Ox Security се нагласува дека ризиците од злоупотреба на овие пропусти од страна на напаѓач може да вклучуваат движење низ мрежата (network pivoting) и кражба на чувствителни податоци како API клучеви и конфигурациски датотеки.

На програмерите им се препорачува да избегнуваат стартување localhost сервери освен ако е неопходно, да не отвораат недоверливи HTML датотеки додека тие сервери се активни и да не применуваат недоверливи конфигурации или да лепат сомнителни фрагменти (snippets) во settings.json.

Исто така, се препорачува отстранување на непотребните екстензии и инсталирање само на оние од доверливи издавачи, како и следење на неочекувани промени во поставките.

Извори:

  • Bleeping Computer – Flaws in popular VSCode extensions expose developers to attacks Bleeping Computer