VS Codeの拡張機能 Live Previewに致命的な脆弱性-1,100万超ダウンロードが対象-ローカル機密ファイル流出の恐れ

セキュリティニュース

投稿日時: 更新日時:

VS Codeの拡張機能 Live Previewに致命的な脆弱性-1,100万超ダウンロードが対象-ローカル機密ファイル流出の恐れ

OX Securityの調査により、Microsoft公式のVisual Studio Code拡張機能Live Previewに、悪意あるWebサイトからのリクエストで開発者PC上のローカルファイル(例:.envなど)を読み出し、外部へ送信され得るXSS脆弱性が報告されました。

問題視されているのは、ダウンロード数1,100万超の拡張が対象になり得る点で、開発者端末の認証情報やアクセスキーなどが窃取されるリスクがあるとしています。

概要

OX Securityは、本件をCritical(深刻)相当として位置付けています。対象はVS Code拡張Live Previewで、同拡張はダウンロード数が1,100万超とされ、開発者の利用規模が大きい点がリスクを増幅させるとしています。

脆弱性の中核は、Live Previewサーバーが不正な入力を適切にエスケープせずにページへ反映してしまい、反射型XSSが成立する点にあります。これにより、悪性サイトが開発者のlocalhost上のLive Previewサーバーへ細工したリクエストを送ることで、ローカルファイルへアクセスして内容を外部へ送信させる、といった攻撃シナリオが成立し得ると説明されています。

影響

影響はデータ流出です。攻撃が成立した場合、開発者端末内の機密情報(APIキー、アクセストークン、認証情報、設定ファイル、ソースコード片など)が外部へ持ち出される可能性があります。特に、開発環境はクラウド鍵やCI/CDトークン、各種SaaSのキーが置かれやすく、被害が開発者個人に留まらず、組織全体の侵害につながる恐れがあります。

修正状況

OX Securityは、2025年8月7日にMicrosoftへ報告し、その後2025年9月11日に修正版がリリースされたと記載しています。
GitHubのCHANGELOGでも、0.4.16(2025年9月11日)にAddress some XSS security issuesと明記されています。

OX側の記載ではAffected Versionsを0.4.16までと表現していますが、CHANGELOG上は0.4.16がXSS修正を含むため、実務上は少なくとも0.4.16未満を利用している場合に早急な更新が必要です。

出典

XSS in Live Preview, Microsoft VS Code Extension with 11M Downloads