CVE-2025-65717

Fuite de Fichiers Locaux via l’Extension Live Server de VS Code

Une faille de sécurité, identifiée comme CVE-2025-65717, a été découverte dans l’extension Live Server pour Visual Studio Code, affectant potentiellement toutes les versions, y compris la version 5.7.9. Cette vulnérabilité permet à des attaquants de subtiliser des fichiers locaux d’un poste de développeur.

L’exploitation survient lorsqu’un utilisateur, avec l’extension Live Server en cours d’exécution, visite un site web malveillant. Le code JavaScript intégré dans ce site peut alors parcourir et extraire des fichiers du serveur HTTP de développement local géré par l’extension (généralement sur localhost:5500). Les données ainsi collectées peuvent être envoyées vers un domaine contrôlé par l’attaquant.

Le problème a été signalé en août 2025 par des chercheurs d’OX Security et, selon les dernières informations, n’est pas encore corrigé.

Points Clés:

• Extension Affectée: Live Server pour Visual Studio Code.
• Type de Vulnérabilité: Exfiltration de fichiers locaux.
• Scénario d’Exploitation: Visite d’un site web malveillant par un utilisateur avec Live Server actif.
• Mécanisme: Injection de JavaScript malveillant dans le serveur de développement local.
• Impact: Vol de fichiers sensibles stockés sur le poste du développeur.
• Rapport: OX Security en août 2025.
• Statut: Non corrigé.

Vulnérabilités:

• CVE-2025-65717: Permet l’exfiltration de fichiers locaux via l’extension Live Server.

Recommandations:

• Les développeurs utilisant l’extension Live Server doivent être extrêmement prudents quant aux sites web qu’ils visitent, surtout lorsque l’extension est active.
• Il est recommandé de désactiver temporairement l’extension Live Server lorsqu’on navigue sur des sites web externes ou peu fiables.
• Surveiller activement les annonces officielles concernant une mise à jour de sécurité pour l’extension Live Server.

Source