広く利用されるVSCode拡張機能「Live Server」に脆弱性 - 未修正状態続く
「Visual Studio Code」の開発環境において広く利用されている拡張機能「Live Server」に情報漏洩の脆弱性が明らかとなった。2025年8月に開発者へ報告されたが、その後も未修正の状態が続いているという。
「Live Server」は、ローカルでHTTPサーバを起動し、ファイル変更時にブラウザを自動更新する「Visual Studio Code」向けの拡張機能。
「CORS」による制限が適切に構成されていない脆弱性「CVE-2025-65717」が明らかとなった。拡張機能を起動した状態で悪意のあるリンクをクリックし、細工されたHTMLページを開くとスクリプトによってリモートからローカルファイルを外部へ送信できるという。
ソースコードをはじめ、環境ファイルに保存されたAPIキーや認証情報、ローカルログ、データベースなどが取得されるおそれがある。
脆弱性を発見したOX Securityは、開発者に対して2025年8月に開示したが、2026年2月17日の段階で依然としてレスポンスがないという。ソースリポジトリでは、2022年8月末にリリースされた「同5.7.9」が最新版となっており、少なくとも同バージョンを含む全バージョンが影響を受ける状態が続いていると指摘している。
OX Securityは共通脆弱性評価システム「CVSS」のベーススコアを「9.1」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティング。一方米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、CVSS基本値を「4.3」、重要度を「中(Medium)」と評価している。
(Security NEXT - 2026/02/19 )
ツイート
PR
関連記事
OpenText製品向けID統合基盤「OTDS」に脆弱性 - 修正版を公開
米当局、「Dell RP4VMs」や「GitLab」の脆弱性悪用に注意喚起
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
DellのVM環境向け復旧製品にゼロデイ脆弱性 - 悪用報告も
「MS Edge」にアップデート - ゼロデイ含む脆弱性13件を解消
米当局、脆弱性悪用リストに4件追加 - ランサム対策製品の脆弱性も
「Firefox」にアップデート - ライブラリ起因の脆弱性に対処
「Apache NiFi」に認可管理不備の脆弱性 - 修正版が公開
AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性
「TeamViewer」に脆弱性 - ローカル側の確認を回避可能
