يمكن استغلال الثغرات الأمنية ذات تصنيفات الخطورة العالية إلى الحرجة التي تؤثر على ملحقات Visual Studio Code (VSCode) الشائعة التي تم تنزيلها بشكل جماعي أكثر من 128 مليون مرة لسرقة الملفات المحلية وتنفيذ التعليمات البرمجية عن بُعد.
تؤثر مشكلات الأمان على Code Runner (CVE-2025-65715)، وMarkdown Preview Enhanced (CVE-2025-65716)، وMarkdown Preview Enhanced (CVE-2025-65717)، وMicrosoft Live Preview (لم يتم تعيين معرف).
اكتشف الباحثون في شركة أمن التطبيقات Ox Security العيوب وحاولوا الكشف عنها منذ يونيو 2025. ومع ذلك، يقول الباحثون إنه لم يستجب أي من المشرفين.
“https://www.bleepstatic.com/c/w/Securing-AI-Agents-970×250.png” البديل=”Wiz”>
تنفيذ التعليمات البرمجية عن بعد في IDE
ملحقات VSCode هي وظائف إضافية تعمل على توسيع وظائف بيئة التطوير المتكاملة (IDE) الخاصة بشركة Microsoft. يمكنهم إضافة دعم اللغة وأدوات تصحيح الأخطاء والموضوعات والوظائف أو خيارات التخصيص الأخرى.
يتم تشغيلها مع وصول كبير إلى بيئة التطوير المحلية، بما في ذلك الملفات والمحطات الطرفية وموارد الشبكة.
نشرت Ox Security تقارير عن كل من العيوب المكتشفة وحذرت من أن الاحتفاظ بالامتدادات الضعيفة قد يعرض بيئة الشركة للحركة الجانبية وتسرب البيانات والاستيلاء على النظام.
مهاجم”https://www.ox.security/blog/cve-2025-65717-live-server-vscode-vulnerability/?_gl=1*13zfoyu*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw” الهدف=”_blank” rel=”nofollow noopener”> استغلال CVE-2025-65717يمكن للثغرة الحرجة في ملحق Live Server (أكثر من 72 مليون عملية تنزيل على VSCode) سرقة الملفات المحلية عن طريق توجيه الهدف إلى صفحة ويب ضارة.
الثغرة CVE-2025-65715 في ملحق Code Runner VSCode، مع 37 مليون عملية تنزيل،”https://www.ox.security/blog/cve-2025-65715-code-runner-vscode-rce/?_gl=1*13zfoyu*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw” الهدف=”_blank” rel=”nofollow noopener”> يسمح بتنفيذ التعليمات البرمجية عن بعد عن طريق تغيير ملف تكوين الامتداد. يمكن تحقيق ذلك من خلال خداع الهدف للصق أو تطبيق مقتطف تكوين ضار في النطاق العالميsettings.jsonملف.
تم تصنيف CVE-2025-65716 بدرجة خطورة عالية تبلغ 8.8، ويؤثر على Markdown Preview Enhanced (8.5 مليون عملية تنزيل) و”https://www.ox.security/blog/cve-2025-65716-markdown-preview-enhanced-vscode-vulnerability/?_gl=1*13zfoyu*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw” الهدف=”_blank” rel=”nofollow noopener”> يمكن الاستفادة منها لتنفيذ JavaScript عبر ملف Markdown الذي تم تصميمه بشكل ضار.
اكتشف باحثو Ox Security أ”https://www.ox.security/blog/xssinlivepreview/?_gl=1*1ydb6pv*_up*MQ..*_ga*NTIzNzI0NDU1LjE3NzEzNTQ2Mjg.*_ga_BEXTPVWPX8*czE3NzEzNTQ2MjYkbzEkZzAkdDE3NzEzNTQ2MjYkajYwJGwwJGgw” الهدف=”_blank” rel=”nofollow noopener”> ثغرة XSS بنقرة واحدة في إصدارات Microsoft Live Preview قبل 0.4.16. يمكن استغلاله للوصول إلى الملفات الحساسة الموجودة على جهاز المطور. يحتوي الامتداد على أكثر من 11 مليون عملية تنزيل على VSCode.
تنطبق العيوب الموجودة في الامتدادات أيضًا على Cursor وWindsurf، وهما بيئات تطوير متكاملة بديلة متوافقة مع VSCode ومدعومة بالذكاء الاصطناعي.
يسلط تقرير Ox Security الضوء على أن المخاطر المرتبطة بممثل التهديد الذي يستفيد من المشكلات تشمل التمركز على الشبكة وسرقة التفاصيل الحساسة مثل مفاتيح واجهة برمجة التطبيقات وملفات التكوين.
يُنصح المطورون بتجنب تشغيل خوادم المضيف المحلي ما لم يكن ذلك ضروريًا، وفتح HTML غير موثوق به أثناء تشغيلها، وتطبيق تكوينات غير موثوقة أو لصق مقتطفات في settings.json.
يُنصح أيضًا بإزالة الملحقات غير الضرورية وتثبيت تلك من الناشرين ذوي السمعة الطيبة فقط، مع مراقبة التغييرات غير المتوقعة في الإعدادات.
“https://www.bleepstatic.com/c/t/tines-in-art-square.jpg” البديل=”tines”>
مستقبل البنية التحتية لتكنولوجيا المعلومات هنا
تتحرك البنية التحتية الحديثة لتكنولوجيا المعلومات بشكل أسرع مما يمكن لسير العمل اليدوي التعامل معه.
في دليل Tines الجديد هذا، تعرف على كيف يمكن لفريقك تقليل التأخيرات اليدوية المخفية، وتحسين الموثوقية من خلال الاستجابة الآلية، وإنشاء مسارات عمل ذكية وتوسيع نطاقها بالإضافة إلى الأدوات التي تستخدمها بالفعل.