文章总结： VSCode的LiveServer扩展存在高危漏洞CVE-2025-65717，CVSS评分9.1。当开发者后台运行LiveServer时，访问恶意网页即可通过跨域请求窃取本地文件，包括源代码、配置文件、凭证等敏感数据。该漏洞因默认未实施CORS保护，允许外部网页递归爬取本地服务器文件。目前无维护者回应，建议用户注意风险。 综合评分： 78 文章分类： 漏洞预警,WEB安全,应用安全,渗透测试

VS Code的Live Server扩展存在漏洞，可被用于窃取本地文件（CVE-2025-65717）

幻泉之洲

2026年2月27日 09:43 北京

OX安全研究人员发现，拥有超7200万安装量的VS Code扩展Live Server存在一个高危漏洞。当开发者的Live Server在后台运行时，只需访问一个恶意网页，攻击者就能窃取其电脑上的本地文件。该漏洞至今无维护者回应。

漏洞简介

这个漏洞编号为CVE-2025-65717，CVSS评分高达9.1分，属于严重级别。它影响所有版本的Live Server扩展。

Live Server是VS Code里一个很受欢迎的扩展，功能是启动一个本地开发用的HTTP服务器。当你修改项目文件时，它能自动刷新浏览器页面，方便你实时预览效果，不用手动点刷新。你可以设置服务器根目录、端口、主机、默认浏览器等等，它也支持多个工作区根目录。

漏洞风险

问题在于，如果开发者的Live Server在后台运行，那么攻击者只需要发送一个恶意链接给他，让他点开这个网页，攻击者就能拿到开发者电脑上的文件。

这种攻击方式能造成的后果包括：

• 偷走敏感源代码，包括专有代码、脚本或配置文件。
• 窃取凭证。比如那些放在.env文件里的环境变量、API密钥、密码等秘密信息，可以直接被发送到攻击者控制的服务器。
• 获取本地数据，包括开发服务器提供的本地文件、日志或数据库内容。

漏洞原理

当Live Server运行时，如果开发者在默认的网页浏览器中打开一个远程托管的恶意HTML页面，这个页面就能通过JavaScript访问 http://localhost:5500（http://localhost:5500/）。

关键在于，Live Server默认没有实施CORS（跨源资源共享）保护。这导致任何人都能从外部网页向localhost:5500发起跨域请求。于是，远程网站就能像合法的同源请求一样，获取本地服务器上的所有文件。

恶意页面可以递归地爬取Live Server提供的所有文件，然后把它们传送到攻击者控制的域名。

下面这段HTML代码就是我们用来模拟恶意网站的示例：

视频验证

为了证明这个漏洞确实存在且可利用，我们制作了一段概念验证视频，展示了整个攻击过程。

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

幻泉之洲已关注

分享视频

，时长00:23

0/0

00:00/00:23

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:23

00:23

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

VS Code的Live Server扩展存在漏洞，可被用于窃取本地文件（CVE-2025-65717）

观看更多

转载

,

VS Code的Live Server扩展存在漏洞，可被用于窃取本地文件（CVE-2025-65717）

幻泉之洲已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《VS Code的Live Server扩展存在漏洞，可被用于窃取本地文件（CVE-2025-65717）》