Security

Celah di Ekstensi VSCode Populer Buka Risiko Eksekusi Kode dan Pencurian Data

February 18, 2026
2 minutes read

Sejumlah kerentanan dengan tingkat keparahan tinggi hingga kritis ditemukan pada ekstensi populer Visual Studio Code (VSCode) yang secara kolektif telah diunduh lebih dari 128 juta kali. Celah ini berpotensi dimanfaatkan untuk mencuri file lokal hingga menjalankan kode berbahaya dari jarak jauh pada mesin pengembang.

Temuan ini diungkap oleh firma keamanan aplikasi Ox Security, yang menyatakan telah mencoba menghubungi pengelola ekstensi sejak Juni 2025, namun tidak menerima respons.

Eksekusi Kode Jarak Jauh di Lingkungan Pengembangan

VSCode extension merupakan add-on yang memperluas fungsi IDE Microsoft tersebut, mulai dari dukungan bahasa pemrograman hingga debugging dan pratinjau konten. Karena berjalan dengan akses luas ke file lokal, terminal, serta sumber daya jaringan, celah pada ekstensi dapat berdampak signifikan terhadap keamanan lingkungan pengembangan.

Kerentanan yang diidentifikasi meliputi:

  • CVE-2025-65715 pada Code Runner
  • CVE-2025-65716 pada Markdown Preview Enhanced
  • CVE-2025-65717 pada ekstensi Live Server
  • Satu celah tanpa identifier pada Microsoft Live Preview

Menurut Ox Security, eksploitasi celah-celah ini dapat membuka peluang lateral movement di jaringan perusahaan, eksfiltrasi data, hingga pengambilalihan sistem.

Live Server dan Code Runner Terdampak

CVE-2025-65717 yang dinilai kritis ditemukan pada ekstensi Live Server, yang telah diunduh lebih dari 72 juta kali. Celah ini memungkinkan penyerang mencuri file lokal dengan mengarahkan korban ke halaman web berbahaya.

Sementara itu, CVE-2025-65715 pada Code Runner (sekitar 37 juta unduhan) memungkinkan eksekusi kode jarak jauh dengan memodifikasi file konfigurasi ekstensi. Serangan dapat terjadi jika korban dibujuk untuk menempelkan atau menerapkan snippet konfigurasi berbahaya pada file global settings.json.

Kerentanan CVE-2025-65716 dengan skor keparahan 8,8 memengaruhi Markdown Preview Enhanced (sekitar 8,5 juta unduhan). Celah ini memungkinkan eksekusi JavaScript melalui file Markdown yang dirancang khusus.

Microsoft Live Preview dan XSS Satu Klik

Peneliti juga menemukan celah cross-site scripting (XSS) satu klik pada Microsoft Live Preview versi sebelum 0.4.16. Ekstensi ini telah diunduh lebih dari 11 juta kali.

Celah tersebut memungkinkan akses ke file sensitif di mesin pengembang melalui eksploitasi berbasis HTML yang tidak terpercaya.

Kerentanan yang sama juga berdampak pada IDE alternatif berbasis AI seperti Cursor dan Windsurf, yang kompatibel dengan ekosistem ekstensi VSCode.

Risiko bagi Lingkungan Korporasi

Ox Security menekankan bahwa eksploitasi celah ini dapat digunakan untuk mencuri API key, file konfigurasi, serta data sensitif lain yang tersimpan di mesin pengembang. Penyerang juga dapat memanfaatkan akses tersebut untuk bergerak lebih jauh di dalam jaringan organisasi.

Rekomendasi Mitigasi

Pengembang disarankan untuk:

  • Menghindari menjalankan server localhost jika tidak diperlukan
  • Tidak membuka file HTML yang tidak dipercaya saat server aktif
  • Tidak menempelkan konfigurasi atau snippet yang tidak dikenal ke settings.json
  • Menghapus ekstensi yang tidak diperlukan
  • Hanya menginstal ekstensi dari penerbit terpercaya
  • Memantau perubahan konfigurasi yang tidak wajar

Kasus ini kembali menyoroti risiko rantai pasok pada ekosistem pengembangan perangkat lunak, di mana ekstensi populer dengan jutaan unduhan dapat menjadi titik masuk yang efektif bagi aktor ancaman.

Tags
February 18, 2026
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button