Visual Studio Code subit une succession de vulnérabilités via des extensions parmi les plus populaires. Elles concernent Code Runner, Markdow Preview Enhanced ou encore Live Preview ! Ox Security, éditeur en sécurité, alerte sur les risques. Le problème est que ces extensions sont utilisés par des dizaines de millions de développeurs. 

Par exemple, la CVE-2025-65717 concerne Live Server. Un hacker peut récupérer des fichiers locaux en trompant le développeur par une fausse page web. La faille a été découverte en 2025 mais Ox Security dit qu'aucune mesure n'a pas été prise par les mainteneurs. 

Explication sur la CVE-2025-65717 : https://www.ox.security/blog/cve-2025-65717-live-server-vscode-vulnerability/

La CVE-2025-65715 cible Code Runner. Il permet d'exécuter un code distant en modifiant le fichier de configuration : https://www.ox.security/blog/cve-2025-65715-code-runner-vscode-rce/

Sur Microsoft Live Preview, avant la version 0.4.16, une faille permet d'accéder aux fichiers locaux via une vulnérabilité XSS. Enfin, la CVE-2025-65716 cible l'extension Markdown Preview Enhanced 0.8.18 en exécutant un code non autorisé. Ce code illicide est récupéré via une corruption d'un fichier .md. 

En résumé : 

CVE-2025-65715: Code Runner 
CVE-2025-65716: Markdown Preview Enhanced 
CVE-2025-65717: Live Server 
CVE non assigné mais faille reconnue : Live Preview by Microsoft