Se han descubierto vulnerabilidades de severidad alta en extensiones populares de Visual Studio Code. Un actor malicioso podría ejecutar código arbitrario en los entornos de desarrollo afectados.
Productos afectados
- Extensiones para Visual Studio Code:
- Code Runner v0.12.2.
- Markdown Preview Enhanced v0.8.18.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-65716: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de control inadecuado de generación de código. Un actor malicioso remoto podría ejecutar código arbitrario mediante la carga de un archivo .md maliciosamente diseñado.
CVE-2025-65715: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de código. Un actor malicioso local podría lograr la ejecución remota de código al inducir a un usuario a abrir un espacio de trabajo especialmente diseñado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias