Más de 125 millones de instalaciones de extensiones de Visual Studio Code se han visto afectadas por vulnerabilidades que permiten robo de archivos locales y ejecución arbitraria de código en equipos de desarrolladores. El análisis de OX Security identifica fallos graves en cuatro extensiones muy utilizadas: Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview.
Riesgos de seguridad de las extensiones de VS Code para empresas y la cadena de suministro
En los entornos de desarrollo modernos, las IDE y sus extensiones forman parte crítica de la cadena de suministro de software, al mismo nivel que dependencias, librerías y servicios de CI/CD. En el caso de Visual Studio Code, muchos complementos acceden al sistema de archivos, levantan servidores HTTP locales y se comunican con servicios externos, convirtiéndose en un vector de ataque de alto impacto.
OX Security subraya que un único complemento vulnerable o malicioso puede bastar para que un atacante se desplace lateralmente por la infraestructura y comprometa una organización completa. En un contexto corporativo, ello se traduce en riesgo de filtración de código fuente, secretos (API keys, tokens de acceso), configuraciones de CI/CD y otros activos críticos. Distintos informes públicos de la industria, como los de ENISA o Verizon, coinciden en que los ataques a la cadena de suministro están aumentando de forma sostenida, y el eslabón del entorno de desarrollo es cada vez más explotado.
Live Server (CVE-2025-65717): exfiltración de archivos vía localhost sin interacción
La vulnerabilidad CVE-2025-65717 en la extensión Live Server ha recibido una puntuación de 9,1 en la escala CVSS, lo que la sitúa en el rango crítico. Live Server inicia normalmente un servidor HTTP en localhost:5500 para previsualizar páginas web, pero la forma en que gestiona las peticiones desde el navegador permite un ataque de exfiltración de datos a través de localhost.
El escenario de ataque consiste en que el desarrollador visite una página maliciosa mientras Live Server está activo. El JavaScript incrustado en esa página envía peticiones al servidor local, lee archivos del equipo de la víctima y los reenvía a un dominio controlado por el atacante. El navegador actúa así como un “proxy” para extraer archivos locales. La raíz del problema es la ausencia de controles robustos sobre el origen (origin) de las peticiones. A la fecha indicada en el informe, no se ha publicado parche para esta vulnerabilidad.
Markdown Preview Enhanced (CVE-2025-65716): ejecución de JavaScript desde markdown
La extensión Markdown Preview Enhanced presenta la vulnerabilidad CVE-2025-65716, con una puntuación de 8,8 CVSS. El complemento ofrece un potente motor de previsualización de markdown con soporte para HTML y scripts embebidos. Los investigadores demostraron que es posible ejecutar JavaScript arbitrario simplemente abriendo un archivo markdown especialmente manipulado.
Una vez que el atacante logra ejecutar JavaScript en el contexto de la extensión, puede enumerar puertos locales, interactuar con servicios expuestos en localhost y desencadenar fugas de información. Este vector es especialmente peligroso en repositorios compartidos, donde un fichero de documentación aparentemente legítimo puede ocultar contenido malicioso. Tampoco existe aún parche disponible para CVE-2025-65716.
Code Runner (CVE-2025-65715): ejecución remota de código mediante ajustes manipulados
La popular extensión Code Runner, utilizada para ejecutar rápidamente código en múltiples lenguajes, es vulnerable a un escenario de ejecución remota de código (RCE) identificado como CVE-2025-65715 y valorado con 7,8 CVSS. El ataque se basa en manipular la configuración almacenada en settings.json de Visual Studio Code.
A través de phishing o ingeniería social, el atacante puede convencer al desarrollador para que adopte una configuración “recomendada” que, en realidad, altera los comandos de ejecución de Code Runner. Con ello, al lanzar fragmentos de código, se ejecutan órdenes arbitrarias en el sistema de la víctima con los permisos del usuario. Este tipo de abuso de configuración demuestra la necesidad de tratar los ficheros de ajustes de la IDE como activos sensibles. De nuevo, no se dispone todavía de corrección oficial.
Microsoft Live Preview: vulnerabilidad de exfiltración ya corregida
Un fallo de seguridad similar al de Live Server también fue detectado en la extensión Microsoft Live Preview, que igualmente emplea un servidor local para la previsualización web. Una página maliciosa en el navegador podía enviar peticiones JavaScript a localhost y extraer archivos confidenciales desde la máquina del desarrollador.
Según OX Security, Microsoft solucionó el problema en la versión 0.4.16, publicada en septiembre de 2025. Aunque no se ha asignado un identificador CVE específico, la naturaleza de la vulnerabilidad es análoga: controles insuficientes sobre las interacciones entre el navegador y el servidor local.
Recomendaciones de ciberseguridad para organizaciones y desarrolladores
Buenas prácticas para reducir la superficie de ataque en Visual Studio Code
Estos incidentes evidencian que las IDE deben considerarse activos de alta criticidad dentro de la arquitectura de seguridad. Un compromiso en el entorno de desarrollo ofrece al atacante acceso directo a código, secretos y a la infraestructura de build y despliegue.
Entre las medidas recomendadas se incluyen:
– Desconfiar de configuraciones no verificadas, especialmente cambios en settings.json sugeridos en foros, repositorios o tutoriales de procedencia dudosa.
– Auditar periódicamente las extensiones de VS Code y desinstalar plugins innecesarios para reducir la superficie de ataque.
– Restringir las conexiones entrantes y salientes mediante cortafuegos locales y de red, incluyendo, cuando sea viable, el acceso del navegador a localhost.
– Actualizar de forma regular tanto Visual Studio Code como sus extensiones, y monitorizar avisos de seguridad y boletines de vulnerabilidades.
– Detener servicios locales (servidores de desarrollo, previsualizadores, etc.) cuando no se estén utilizando, limitando así la ventana de exposición frente a ataques.
Un único complemento mal diseñado o sobreprivilegiado puede modificar archivos, ejecutar código y facilitar el control completo de la estación de trabajo de un desarrollador. Es recomendable que las organizaciones definan políticas claras de uso de extensiones, mantengan listas de plugins autorizados, apliquen control de configuraciones y formen a sus equipos para identificar escenarios de riesgo. Integrar las extensiones de la IDE en el modelo de amenazas corporativo es un paso esencial para reforzar la seguridad de la cadena de suministro de software y mitigar el impacto de futuras vulnerabilidades.
