VS Code拡張機能4件に重大な脆弱性 累計ダウンロード数は1.2億：セキュリティニュースアラート

OX SecurityはVS Code用の拡張機能4件に重大な脆弱性を確認した。Live Serverなどに遠隔ファイル流出やRCEの恐れがあり、Cursorなどにも影響する。開発環境の防御は急務であり、審査制度の整備を提言している。

[ITmedia エンタープライズ編集部]

　OX Securityは2026年2月17日（現地時間）、「Visual Studio Code」（以下、VS Code）で動作する拡張機能4件に重大な脆弱（ぜいじゃく）性を確認したと発表した。脆弱性のうち、3件にはCVE-2025-65715、CVE-2025-65716、CVE-2025-65717が付与されている。

　対象となる拡張機能は「Live Server」「Code Runner」「Markdown Preview Enhanced」「Microsoft Live Preview」で、累計ダウンロード数は1億2000万件超に上る。発見された問題はVS Codeだけでなく、「Cursor」や「Windsurf」でも確認された。いずれも開発者の端末で広範な権限を持つ特性があり、悪用されれば組織全体への侵害につながる可能性がある。

累計ダウンロード数は1億2000万件　開発者向け拡張機能に深刻な脆弱性

　CVE-2025-65717はLive Serverにおける遠隔ファイル流出の脆弱性だ。共通脆弱性評価システム（CVSS）のスコアは9.1とされ、全バージョンが影響を受ける。CVE-2025-65715はCode Runnerに存在するリモートコード実行（RCE）脆弱性で、CVSSは7.8だ。

　CVE-2025-65716はVS Codeの拡張機能「Markdown Preview Enhanced」におけるJavaScript実行の欠陥で、CVSSは8.8。ローカルポートのスキャンや情報流出に発展する恐れがある。Microsoft Live PreviewではワンクリックのXSSからIDE内ファイルの流出に至る欠陥が見つかり、v0.4.16以降で修正されたが脆弱性情報データベース（CVE）は割り当てられていない。

　IDE拡張は開発端末のファイルや設定に直接アクセスできる。業務ロジックやAPIキー、データベース設定、環境変数など機密情報が保存されており、攻撃者は悪意ある拡張や単一の脆弱性を足掛かりに横展開を図ることが可能だという。ローカルサーバを起動した状態で不審なHTMLを開く行為などが侵害の契機となり得る。

　OX Securityは2025年7月および8月に開発者に通知したが、現時点で応答はないと説明した。電子メールや「GitHub」、SNSなど複数経路で連絡を試みたが反応は得られなかったと報告している。

　同社は対策として、信頼できないHTMLの閲覧回避、ローカルサーバ運用の見直し、不審な設定の適用回避を挙げた。加えて不要な拡張の削除、ローカルネットワークの防御強化、IDEや拡張、OSの迅速な更新を求めている。拡張公開前の審査制度導入、自動脆弱性検査の実施、人気拡張の保守者への対応期限の明確化など制度面の整備も提案した。AIによる開発支援の普及で拡張への依存が増す中、開発環境そのものの防御が急務であると指摘している。