Live Serverに脆弱性が発見、Live Previewに変更しよう!

2026年2月22日 最終更新日時 : 2026年2月22日 kshino

私も使っているVS-CodeのプラグインであるLive Serverに脆弱性が発見されました。CVSS 9.1 = 最高ランクの危険度で即対応レベルです。
脆弱性をついて任意のコードを実行できるようです。代替するプラグインとしてMicrosoft Live Previewに変更しました。

問題の内容

CVE-2025-65717 (CVSSスコア: 9.1) - Live Serverに存在する脆弱性。

攻撃者は、拡張機能の実行中に開発者を悪意のあるウェブサイトに誘導し、ページに埋め込まれたJavaScriptによってlocalhost:5500で動作するローカル開発用HTTPサーバーからファイルをクロールして抽出し、攻撃者の管理下にあるドメインに送信することで、ローカルファイルを盗み出すことができます。

https://thehackernews.com/2026/02/critical-flaws-found-in-four-vs-code.html

✔️具体的なリスク

  • クライアント案件のコード漏洩 → 信用問題
  • APIキー流出 → 課金・不正利用リスク
  • Git未公開コード → 資産流出

✔️ まとめ
・CVSS 9.1 = 最高ランクの危険度
・放置はNG(特に開発者)。「あとで対応」ではなく即対応レベル
・今回のLive Serverは 環境ごと抜かれるタイプのリスク

対策

Live Serverはアンイストールします。

代替策

1.VSCodeにMicrosoft Live Previewをインストールします。

2.Live Previewの歯車マーク(管理)⇒「設定」を選択

3.「live preview Open Preview Targetを「External Browser」 に変更します。


4.VSCodeのhtmlファイル編集画面内で右クリックして「プレビューを表示」でローカルWEBサーバにアクセスできます。
 例)アクセス先
 http://127.0.0.1:3000/index.html

カテゴリー
WEB制作セキュリティ
前の記事
注意:警察詐欺電話!
2026年2月15日