كشفت تقارير أمنية حديثة عن وجود ثغرات أمنية خطيرة في أربعة إضافات شائعة لبيئة التطوير Visual Studio Code، والتي تم تثبيتها مجتمعة أكثر من 125 مليون مرة. هذه الثغرات، إذا تم استغلالها بنجاح، قد تمنح المهاجمين القدرة على سرقة الملفات المحلية وتنفيذ تعليمات برمجية عن بعد، مما يشكل تهديدًا كبيرًا لمطورين حول العالم.
تتعلق الثغرات المكتشفة بإضافات “Live Server” و “Code Runner” و “Markdown Preview Enhanced”، بالإضافة إلى إضافة “Microsoft Live Preview”. وأشارت التقارير إلى أن استغلال ثغرة واحدة في أي من هذه الإضافات قد يكون كافياً لتمكين المهاجمين من اختراق أجهزة المطورين، بل وربما التوسع إلى أنظمة المؤسسات بأكملها.
ثغرات Visual Studio Code وتهديداتها الأمنية
وفقًا لبحث أعده باحثون أمنيون، فإن وجود إضافة واحدة ضارة أو ثغرة غير مصححة في إحدى الإضافات يمكن أن يؤدي إلى تحركات جانبية داخل الشبكة واختراق المنظمات بالكامل. وأضاف الباحثون أن هذا يسلط الضوء على أهمية اليقظة المستمرة في مجال أمن البرمجيات.
تفاصيل الثغرات المكتشفة
ثغرة CVE-2025-65717 (درجة الخطورة 9.1): تكمن هذه الثغرة في إضافة Live Server، وتسمح للمهاجمين بسحب ملفات محلية. يمكن تحقيق ذلك عن طريق خداع المطور لزيارة موقع ويب خبيث أثناء تشغيل الإضافة، مما يدفع تعليمات برمجية ضارة إلى استخلاص الملفات من خادم HTTP المحلي وإرسالها إلى نطاق يتحكم فيه المهاجم. لم يتم إصلاح هذه الثغرة بعد.
ثغرة CVE-2025-65716 (درجة الخطورة 8.8): توجد هذه الثغرة في Markdown Preview Enhanced، وتتيح للمهاجمين تنفيذ تعليمات برمجية عشوائية عبر رفع ملف Markdown مصمم خصيصًا. يفتح هذا الباب أمام استخراج معلومات وسحبها إلى نطاق يتحكم فيه المهاجم. لم يتم إصلاح هذه الثغرة أيضًا.
ثغرة CVE-2025-65715 (درجة الخطورة 7.8): تتيح هذه الثغرة في Code Runner للمهاجمين تنفيذ تعليمات برمجية عن طريق إقناع المستخدم بتغيير ملف “settings.json”. يمكن أن يتم ذلك عبر هجمات التصيد الاحتيالي أو الهندسة الاجتماعية. لم يتم إصلاح هذه الثغرة.
ثغرة في Microsoft Live Preview (لا يوجد لها رقم CVE): تسمح هذه الثغرة للمهاجمين بالوصول إلى ملفات حساسة على جهاز المطور. يحدث ذلك من خلال خداع الضحية لزيارة موقع ويب خبيث أثناء تشغيل الإضافة، والذي يستخدم بعد ذلك طلبات JavaScript مصممة خصيصًا للتحايل على آلية localhost واستخلاص الملفات الحساسة. قامت مايكروسوفت بإصلاح هذه الثغرة بصمت في سبتمبر 2025 ضمن الإصدار 0.4.16.
للتعامل مع هذه التهديدات، يُنصح المطورون بتجنب تثبيت الإضافات غير الموثوقة، وتعطيل أو إلغاء تثبيت الإضافات غير الضرورية. إضافة إلى ذلك، يعد تقوية الشبكات المحلية بجدار ناري لتقييد الاتصالات الواردة والصادرة، وتحديث الإضافات بشكل دوري، وإيقاف تشغيل الخدمات المستندة إلى localhost عند عدم استخدامها، خطوات أساسية لضمان أمن بيئات التطوير.
وشدد الباحثون على أن الإضافات المكتوبة بشكل سيئ، أو تلك التي تتمتع بصلاحيات مفرطة، أو حتى الإضافات الخبيثة، يمكن أن تشكل خطرًا مباشرًا على وضع الأمان للمؤسسات. فالأمر قد لا يتطلب سوى نقرة واحدة أو تنزيل مستودع برمجي لتعريض كل شيء للخطر.