OX Securityの調査により、Microsoft公式のVisual Studio Code拡張機能Live Previewに、悪意あるWebサイトからのリクエストで開発者PC上のローカルファイル(例:.envなど)を読み出し、外部へ送信され得るXSS脆弱性が報告されました。
問題視されているのは、ダウンロード数1,100万超の拡張が対象になり得る点で、開発者端末の認証情報やアクセスキーなどが窃取されるリスクがあるとしています。
概要
OX Securityは、本件をCritical(深刻)相当として位置付けています。対象はVS Code拡張Live Previewで、同拡張はダウンロード数が1,100万超とされ、開発者の利用規模が大きい点がリスクを増幅させるとしています。
脆弱性の中核は、Live Previewサーバーが不正な入力を適切にエスケープせずにページへ反映してしまい、反射型XSSが成立する点にあります。これにより、悪性サイトが開発者のlocalhost上のLive Previewサーバーへ細工したリクエストを送ることで、ローカルファイルへアクセスして内容を外部へ送信させる、といった攻撃シナリオが成立し得ると説明されています。
影響
影響はデータ流出です。攻撃が成立した場合、開発者端末内の機密情報(APIキー、アクセストークン、認証情報、設定ファイル、ソースコード片など)が外部へ持ち出される可能性があります。特に、開発環境はクラウド鍵やCI/CDトークン、各種SaaSのキーが置かれやすく、被害が開発者個人に留まらず、組織全体の侵害につながる恐れがあります。
修正状況
OX Securityは、2025年8月7日にMicrosoftへ報告し、その後2025年9月11日に修正版がリリースされたと記載しています。
GitHubのCHANGELOGでも、0.4.16(2025年9月11日)にAddress some XSS security issuesと明記されています。
OX側の記載ではAffected Versionsを0.4.16までと表現していますが、CHANGELOG上は0.4.16がXSS修正を含むため、実務上は少なくとも0.4.16未満を利用している場合に早急な更新が必要です。
出典
XSS in Live Preview, Microsoft VS Code Extension with 11M Downloads








