Waspada Kerentanan Kritis pada Ekstensi Visual Studio Code: CVE-2025-65715, CVE-2025-65716, dan CVE-2025-65717

By Admin in Peringatan Keamanan

Peringatan Keamanan

Waspada Kerentanan Kritis pada Ekstensi Visual Studio Code: CVE-2025-65715, CVE-2025-65716, dan CVE-2025-65717

Ditemukan tiga kerentanan keamanan pada beberapa ekstensi populer di Visual Studio Code yang berpotensi membahayakan lingkungan pengembangan perangkat lunak. Kerentanan ini terdaftar sebagai CVE-2025-65715, CVE-2025-65716, dan CVE-2025-65717 dengan tingkat risiko mulai dari sedang hingga tinggi.

Ketiga celah keamanan ini menunjukkan bahwa lingkungan development tidak luput dari ancaman siber, terutama jika ekstensi tidak diperbarui atau digunakan tanpa kontrol keamanan yang memadai.

CVE-2025-65715 – Code Injection pada Code Runner (High Severity)
Kerentanan ini ditemukan pada ekstensi Code Runner versi 0.12.2.
Celah ini memungkinkan penyerang mengeksekusi perintah sistem dengan cara mengelabui pengguna agar membuka workspace atau proyek yang telah dimodifikasi secara khusus. Kerentanan ini termasuk dalam kategori CWE-94 (Improper Control of Generation of Code).

Dampak Potensial:
  • Eksekusi perintah sistem tanpa otorisasi
  • Pengambilalihan sesi pengembangan
  • Manipulasi source code
  • Penyisipan backdoor pada proyek

Kerentanan ini memiliki tingkat keparahan High dengan skor CVSS 7.8.
Rekomendasi Mitigasi:
  • Segera perbarui ekstensi Code Runner ke versi terbaru.
  • Hindari membuka workspace dari sumber yang tidak terpercaya.
  • Lakukan audit ekstensi secara berkala.
  • Batasi instalasi ekstensi hanya dari publisher resmi dan terpercaya.

CVE-2025-65716 – Eksekusi Script Berbahaya melalui Markdown Preview (High Severity)
Kerentanan ini ditemukan pada ekstensi Markdown Preview Enhanced versi 0.8.18.
Penyerang dapat menyisipkan script berbahaya ke dalam file Markdown (.md) yang telah dimodifikasi secara khusus. Saat file tersebut dibuka atau dipreview, script berbahaya dapat dieksekusi di lingkungan pengembangan.

Kerentanan ini juga termasuk dalam kategori CWE-94 (Code Injection) dengan tingkat keparahan High dan skor CVSS 8.8.
Dampak Potensial:
  • Pencurian data proyek
  • Manipulasi file
  • Kompromi sistem pengembang

Rekomendasi Mitigasi:
  • Perbarui ekstensi ke versi terbaru yang telah diperbaiki.
  • Hindari membuka file Markdown dari sumber tidak terpercaya.
  • Nonaktifkan fitur preview otomatis jika tidak diperlukan.
  • Terapkan kontrol keamanan tambahan pada lingkungan development.

CVE-2025-65717 – Eksfiltrasi File Lokal pada Live Server (Medium Severity)
Kerentanan ini ditemukan pada ekstensi Live Server versi 5.7.9.
Celah ini memungkinkan eksfiltrasi file lokal melalui teknik Cross-site Scripting (CWE-79). Jika pengguna mengakses halaman HTML berbahaya saat Live Server aktif, file lokal dapat dibaca atau dikirimkan tanpa sepengetahuan pengguna.

Kerentanan ini dikategorikan Medium Severity dengan skor CVSS 4.3.
Dampak Potensial:
  • Kebocoran source code
  • Bocornya kredensial
  • Terpaparnya informasi sensitif

Risiko meningkat apabila server lokal dijalankan dalam jaringan internal organisasi.
Rekomendasi Mitigasi:
  • Segera perbarui ekstensi Live Server.
  • Hindari menjalankan server lokal saat membuka sumber yang tidak terpercaya.
  • Terapkan prinsip least privilege pada lingkungan pengembangan.
  • Batasi akses jaringan lokal untuk meminimalkan risiko kebocoran data.

Kesimpulan
Kerentanan pada ekstensi development tools dapat menjadi pintu masuk serangan siber yang serius. Oleh karena itu, organisasi dan pengembang perlu meningkatkan kewaspadaan terhadap penggunaan ekstensi pihak ketiga dalam lingkungan pengembangan.

Langkah Pencegahan Umum:
  • Selalu memperbarui IDE dan ekstensi secara berkala
  • Menginstal ekstensi hanya dari publisher terpercaya
  • Melakukan audit keamanan tools development
  • Menerapkan kebijakan keamanan internal pada lingkungan pengembangan
Keamanan bukan hanya tanggung jawab pada tahap produksi, tetapi harus dimulai sejak proses pengembangan.


Back to Posts