Investigadores de seguridad revelan que herramientas inmensamente populares como “Live Server” y “Code Runner” permiten a los atacantes robar código fuente local y ejecutar comandos remotos. Lo peor: tres de ellas siguen sin parchear.
El editor de código más usado del mundo tiene un problema masivo en su ecosistema de plugins. Hoy 18 de febrero de 2026, el hallazgo de múltiples vulnerabilidades críticas y de alta severidad en cuatro de las extensiones más populares de Visual Studio Code (VS Code).
Con más de 125 millones de descargas combinadas, estas herramientas son esenciales en el día a día de millones de desarrolladores web y de software. Sin embargo, investigadores han demostrado que un solo clic en el lugar equivocado, combinado con una de estas extensiones mal configuradas, es suficiente para comprometer una organización entera.
Las Extensiones Afectadas (y el estado de los parches)
El reporte detalla cuatro extensiones específicas, tres de las cuales (las más críticas) permanecen sin parchear al momento de esta publicación:
- Live Server (CVE-2025-65717 – CVSS: 9.1 – Crítica)
- El Riesgo: Robo de archivos locales (Exfiltración).
- Cómo Funciona: Cuando el desarrollador tiene Live Server corriendo (típicamente en localhost:5500), un atacante solo necesita engañar a la víctima para que visite una página web maliciosa. El JavaScript de esa página puede “arrastrarse” (crawl) por el servidor HTTP local de desarrollo, extrayendo el código fuente, claves de API o archivos de configuración, y enviándolos al servidor del atacante.
- Estado: SIN PARCHEAR.
- Markdown Preview Enhanced (CVE-2025-65716 – CVSS: 8.8 – Alta)
- El Riesgo: Ejecución de Código JavaScript y Enumeración de Puertos.
- Cómo Funciona: El atacante envía o incluye en un repositorio un archivo .md (Markdown) modificado maliciosamente. Al abrirlo y previsualizarlo con la extensión, se ejecuta código JavaScript arbitrario que permite al atacante escanear los puertos locales de la máquina del desarrollador y exfiltrar datos.
- Estado: SIN PARCHEAR.
- Code Runner (CVE-2025-65715 – CVSS: 7.8 – Alta)
- El Riesgo: Ejecución Arbitraria de Código.
- Cómo Funciona: Requiere un poco de ingeniería social. El atacante debe convencer al desarrollador (quizás a través de un pull request o un repositorio clonado) para que modifique el archivo settings.json del espacio de trabajo. Una vez alterado, la extensión ejecutará código malicioso de forma invisible al intentar correr un programa legítimo.
- Estado: SIN PARCHEAR.
- Microsoft Live Preview (Sin CVE asignado)
- El Riesgo: Acceso a archivos sensibles.
- Cómo Funciona: Similar al fallo de Live Server, permitía a una web maliciosa acceder al entorno local del desarrollador mediante peticiones JavaScript manipuladas.
- Estado: SOLUCIONADO. Microsoft arregló este fallo silenciosamente en la versión 0.4.16, lanzada en septiembre de 2025.
La Ceguera del “Localhost”
El patrón común en estos ataques (especialmente en Live Server y Live Preview) es la falsa sensación de seguridad que da el entorno localhost. Los desarrolladores a menudo creen que los servicios que corren en su máquina solo son accesibles para ellos, olvidando que el navegador web (y cualquier sitio malicioso abierto en él) puede interactuar con esos puertos locales.
Como señala Moshe Siman Tov Bustan de OX Security: “Mantener extensiones vulnerables instaladas es una amenaza inmediata. Puede requerir solo un clic, o descargar un repositorio, para comprometerlo todo.”
Plan de Acción para Desarrolladores
- Apaga los Servidores Locales: No dejes Live Server corriendo en segundo plano si no lo estás usando activamente. Ciérralo tan pronto como termines tu prueba.
- Limpia tus Extensiones: Revisa tu lista de plugins en VS Code. Si no necesitas una extensión para tu sprint actual, deshabilítala (puedes habilitarla luego por espacio de trabajo) o desinstálala.
- Cuidado con lo que clonas: No abras archivos Markdown (.md) o apliques configuraciones de settings.json de repositorios que no sean de tu absoluta confianza.
