概要
セキュリティ企業OX Securityは2026年2月17日、VS CodeおよびそのフォークであるCursor・Windsurfに影響する4つの脆弱性を公開した。対象となる拡張機能は合計1億2800万回以上ダウンロードされており、多くの開発者が影響を受ける可能性がある。
出典: OX Security — 2026-02-17
詳細
発見された脆弱性
| CVE | 拡張機能 | DL数 | 深刻度 | 概要 |
|---|---|---|---|---|
| CVE-2025-65717 | Live Server | 7200万 | Critical (9.1) | リモートからファイル流出可能 |
| CVE-2025-65716 | Markdown Preview Enhanced | 850万 | High (8.8) | 任意JS実行、ネットワークスキャン |
| CVE-2025-65715 | Code Runner | 3700万 | High (7.8) | 任意コード実行(RCE) |
| (未割当) | Microsoft Live Preview | 1100万 | — | ファイル流出(修正済み) |
攻撃シナリオ
Live Server(CVE-2025-65717)の場合:
- 被害者がLive Serverをバックグラウンドで実行中
- 攻撃者が悪意のあるリンクを送信
- 被害者がリンクを開くと、ローカルマシン上のファイルがリモートに流出
Markdown Preview Enhanced(CVE-2025-65716)の場合:
- 悪意のあるMarkdownファイルを開く
- HTMLタグ内のJavaScriptが実行される
- localhostと通信し、ネットワークスキャンやデータ流出が可能
対応状況
OX Securityは2025年7月〜8月にかけて、直接メール、GitHub、SNSなど複数のチャネルで脆弱性を報告したが、Microsoft Live Preview以外は現時点で未対応としている。
MicrosoftはLive Previewについては2025年9月のバージョン0.4.16で「静かに修正」したが、CVE番号は割り当てられていない。
Cursor・Windsurfへの影響
CursorとWindsurfはVS Codeのフォークであり、同じ拡張機能エコシステムを共有している。そのため、これらの「Vibeコーディング」プラットフォームも同様に脆弱性の影響を受ける。
ソロビルダーへの示唆
開発者のローカルマシンは「生産環境を守る最後の砦」だ。OX Securityは「組織は本番環境のセキュリティに多大な投資をしているが、開発者のローカルマシンは無防備なままになっている」と警告する。
今すぐできる対策:
- Live Server: 使用中は不審なリンクを開かない、不要時は停止
- Markdown Preview Enhanced: 信頼できないMDファイルを開かない
- Code Runner: settings.jsonの変更を求めるフィッシングに注意
- Microsoft Live Preview: バージョン0.4.16以降にアップデート
長期的な対策
- ローカルでサーバーを起動する拡張機能を把握する
- 不要な拡張機能は削除
- 定期的に拡張機能のアップデート状況を確認
スコア内訳
| 軸 | スコア | 理由 |
|---|---|---|
| Newsworthiness | 4/5 | 1億超DLの拡張機能に影響する深刻な問題 |
| Value | 5/5 | 全開発者に関係するセキュリティリスク |
| Actionability | 5/5 | 今すぐ対策可能、具体的な緩和策あり |
| Credibility | 5/5 | CVE発行、OX Security一次ソース |
| Timeliness | 5/5 | 2月17日公開、まだ対応が不十分 |
| 合計 | 24/25 |