VS Code の 4 件のエクステンションに深刻な脆弱性：累計インストール数は 1億2,500万回を超える

Critical Flaws Found in Four VS Code Extensions with Over 125 Million Installs

2026/02/18 TheHackerNews — Microsoft Visual Studio Code (VS Code) の 4 件の人気エクステンションに存在するセキュリティ脆弱性について、サイバー・セキュリティ研究者たちが詳細を公表した。これらの脆弱性を悪用する脅威アクターは、ローカル・ファイルを窃取し、リモート・コード実行を引き起こす可能性がある。対象となるエクステンションは、Live Server／Code Runner／Markdown Preview Enhanced／Microsoft Live Preview であり、累計インストール数は 1億2,500万回を超える。

OX Security の研究者である Moshe Siman Tov Bustan と Nir Zadok は、「我々の調査結果が示すのは、1 つの悪意のエクステンション、あるいは、1 つのエクステンション内の単一の脆弱性だけを悪用する攻撃者が、ラテラル・ムーブメントを実行し、組織全体を侵害できることだ」と、The Hacker News と共有したレポートで述べている。

確認された脆弱性の詳細は、以下のとおりである。

CVE-2025-65717 (CVSS：9.1)：Live Server に存在する脆弱性。このエクステンションの実行中に、開発者が悪意の Web サイトへ誘導されると、ページ内に埋め込まれたJavaScript が “localhost:5500” で稼働するローカル開発 HTTP サーバを探索して、ローカル・ファイルを抽出し、攻撃者が管理するドメインへ送信される。 (未修正)

CVE-2025-65716 (CVSS：8.8)：Markdown Preview Enhanced に存在する脆弱性。細工されたマークダウン (.md) ファイルをアップロードさせることで、任意の JavaScript コードを実行できる。それにより、ローカル・ポートの列挙および攻撃者管理ドメインへの情報送信が可能になってしまう。(未修正)

CVE-2025-65715 (CVSS：7.8)：Code Runner に存在する脆弱性。フィッシングやソーシャル・エンジニアリングを介して、ユーザーに “settings.json” ファイルを変更させることで、任意のコード実行を引き起こす。(未修正)

CVE-N/A：Microsoft Live Preview にも脆弱性が存在していた。このエクステンションの実行中に、悪意の Web サイトへ被害者が誘導されると、特別に細工された JavaScript リクエストが “localhost” を標的に実行され、機密ファイルの列挙および窃取が可能となる。(2025年9月公開のバージョン 0.4.16 でMicrosoft が非公開修正）

開発環境を保護するためには、信頼できないコンフィグの排除が不可欠となる。また、不要なエクステンションの無効化／アンインストールも実施すべきだ。さらにファイアウォールでローカル・ネットワークを強化し、送受信接続を制限すべきである。それに加えて、エクステンションを定期的に更新し、不要時には “localhost” ベースのサービスを停止する必要がある。

OX Security は、「不適切に作成されたエクステンションや、過度な権限を許可されたエクステンションは、コード実行／ファイル改変などを介して、端末制御と情報窃取を攻撃者に許す可能性がある。悪意のエクステンションについては、言うまでもない。脆弱なエクステンションをインストールした状態を継続すると、組織のセキュリティ態勢にとって即時の脅威となる。1 回のクリックやリポジトリのダウンロードだけで、すべてが侵害され得る」と警告している。

公表された問題の背景にあるのは、localhost 上のサービスやローカル・ファイルへ過度にアクセスを許す、VS Code エクステンション設計です。CVE-2025-65717／CVE-2025-65716 では、悪意の Web サイトや .md ファイルを通じて JavaScript が実行され、ローカル開発サーバやポートが探索され、機密情報が外部に送信されます。また、CVE-2025-65715 では settings.json の改変により任意コード実行が成立します。拡張機能の権限分離や入力検証が不十分であった点が、ラテラル・ムーブメントの足掛かりとなっています。ご利用のチームは、ご注意ください。よろしければ、VS Code での検索結果も、ご参照ください。