Failles critiques dans 4 extensions VS Code affectant plus de 128 M de téléchargements

Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements. L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle. Vulnérabilités identifiées CVE Extension Score CVSS Type de vulnérabilité Versions affectées CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux Toutes versions CVE-2025-65715 Code Runner 7.8 Exécution de code à distance (RCE) Toutes versions CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript menant à exfiltration de données Toutes versions N/A Microsoft Live Preview N/A XSS permettant accès aux fichiers IDE < 0.4.16 Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation.