CVE-2025-65717
Mis à jour :
Exfiltration de Fichiers via la Vulnérabilité CVE-2025-65717 dans Visual Studio Code
Une faille de sécurité, identifiée comme CVE-2025-65717, affecte l’extension Live Server pour Visual Studio Code. Les versions 5.7.9 et potentiellement toutes les versions antérieures sont concernées.
Mécanisme de l’Attaque : L’exploitation survient lorsqu’un utilisateur, dont l’extension Live Server est active, visite un site web malveillant. Ce site contient du code JavaScript qui peut parcourir et extraire des fichiers depuis le serveur HTTP de développement local géré par l’extension (souvent sur localhost:5500). Les données extraites sont ensuite envoyées vers un serveur contrôlé par l’attaquant.
Points Clés :
- Vulnérabilité: CVE-2025-65717
- Produit affecté: Extension Live Server pour Visual Studio Code.
- Versions affectées: 5.7.9 et potentiellement toutes les versions antérieures.
- Type de faille: Exfiltration de fichiers locaux.
- Scénario d’exploitation: Visite d’un site web malveillant par l’utilisateur avec l’extension Live Server active.
- Impact: Accès non autorisé aux fichiers du système de développement local de la victime.
- Découverte: Rapporte par OX Security en août 2025.
- Statut: Non corrigée à la date des rapports.
Recommandations : Bien que l’article ne détaille pas explicitement les recommandations, il est fortement conseillé aux développeurs utilisant l’extension Live Server de faire preuve de prudence lors de la navigation sur Internet et d’éviter de visiter des sites web non fiables ou suspects. Il est également crucial de rester informé des mises à jour de sécurité de Visual Studio Code et de ses extensions.