В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая расширение Markdown Preview Enhanced для редактора кода Visual Studio Code. Присвоенный идентификатор BDU:2026-02193 соответствует международному идентификатору CVE-2025-65716. Проблема классифицируется как "неверное управление генерацией кода" (CWE-94), что может привести к внедрению и выполнению произвольного кода.
Детали уязвимости
Уязвимость существует в версии расширения 0.8.18. Для успешной атаки злоумышленнику, действующему удаленно, достаточно убедить пользователя открыть специально созданный файл с расширением ".md". Эксплуатация уязвимости не требует аутентификации или сложных условий, что значительно повышает её опасность. По данным источника, эксплойт для этой уязвимости уже существует в открытом доступе, что увеличивает актуальность угрозы.
Системы оценки CVSS присваивают уязвимости высокие баллы. Согласно CVSS 2.0, базовая оценка составляет максимальные 10.0 баллов, что соответствует критическому уровню опасности. Более современная метрика CVSS 3.1 оценивает уязвимость в 8.8 балла, что также классифицируется как высокий уровень опасности. Ключевым фактором в CVSS 3.1 является требование взаимодействия с пользователем (UI:R), поскольку для атаки необходимо открытие вредоносного файла.
Технически уязвимость относится к классу инъекций. Проблема возникает в механизме предварительного просмотра markdown-файлов. Атака использует некорректную обработку пользовательского ввода при генерации кода для предпросмотра. Следовательно, злоумышленник может внедрить и исполнить произвольный код в контексте редактора Visual Studio Code. Этот код, в свою очередь, может использоваться для кражи данных, установки вредоносного ПО или обеспечения устойчивости (persistence) в системе.
На текущий момент информация от вендора, компании Microsoft Corp, об устранении уязвимости или выпуске патча уточняется. Статус уязвимости и способ её устранения также остаются неизвестными. Однако эксперты рекомендуют пользователям принять компенсирующие меры для снижения риска.
В качестве временных мер безопасности специалисты предлагают использовать межсетевой экран уровня приложений (WAF) для фильтрации подозрительного пользовательского ввода. Кроме того, организация удаленного доступа через виртуальные частные сети (VPN) может добавить дополнительный уровень защиты. Важно подчеркнуть, что эти меры носят компенсирующий характер и не устраняют саму уязвимость.
Пользователям расширения Markdown Preview Enhanced рекомендуется проявлять повышенную осторожность. Не следует открывать файлы ".md" из непроверенных источников, таких как электронные письма от неизвестных отправителей или сомнительные веб-сайты. По возможности, до выхода официального обновления от разработчиков, стоит рассмотреть возможность временного отключения или удаления данного расширения, особенно в корпоративных средах с высокими требованиями к безопасности.
Данный инцидент в очередной раз демонстрирует риски, связанные с расширениями для интегрированных сред разработки (IDE). Расширения, обладающие широкими возможностями, часто имеют доступ к файловой системе и сетевым ресурсам. Поэтому уязвимость в таком компоненте может стать начальной точкой для масштабной компрометации. Ответственность за безопасность расширений лежит как на их разработчиках, так и на пользователях, которые должны своевременно обновлять программное обеспечение.
Информация об уязвимости была подробно раскрыта в блоге компании OX Security. Следует отметить, что активное использование общедоступных репозиториев для раскрытия информации об уязвимостях помогает информировать сообщество. Тем не менее, это также ускоряет процесс создания злоумышленниками работающих эксплойтов. Следовательно, временное окно для принятия защитных мер может быть крайне ограниченным.
В заключение, уязвимость CVE-2025-65716 в расширении Markdown Preview Enhanced представляет собой серьезную угрозу. Она позволяет удаленно выполнить код с высокими привилегиями через простое действие пользователя. Пока разработчик не выпустит официальное исправление, основными мерами защиты остаются бдительность пользователей и применение компенсирующих средств контроля. Ситуация требует внимания со стороны системных администраторов и разработчиков, использующих Visual Studio Code в своей работе.
Ссылки
- https://bdu.fstec.ru/vul/2026-02193
- https://www.cve.org/CVERecord?id=CVE-2025-65716
- https://www.ox.security/blog/cve-2025-65716-markdown-preview-enhanced-vscode-vulnerability/
- https://github.com/shd101wyy/markdown-preview-enhanced
