Cybersecurity-onderzoekers hebben een nu afgestemde, hoogwaardige beveiligingsfout in Cursor, een populaire articial intelligence (AI) -code-editor, die kan leiden tot externe code-uitvoering bekendgemaakt.
De kwetsbaarheid, gevolgd als CVE-2025-54135 (CVSS -score: 8.6), is aangepakt in versie 1.3 uitgebracht op 29 juli 2025. Het is Codenaam Curxecute door AIM -labs, die eerder Echoleak hebben bekendgemaakt.
“Cursor loopt met privileges op ontwikkelaarsniveau, en in combinatie met een MCP -server die niet -vertrouwde externe gegevens oplevert, kunnen gegevens de controlestroom van de agent omleiden en deze privileges exploiteren,” zei het AIM Labs -team in een rapport dat wordt gedeeld met het Hacker News.
“Door vergiftigde gegevens aan de agent te voeren via MCP, kan een aanvaller volledige externe code -uitvoering verkrijgen onder de gebruikersrechten, en een aantal dingen bereiken, inclusief kansen voor ransomware, gegevensdiefstal, AI -manipulatie en hallucinaties, enz.”
Met andere woorden, de externe code -uitvoering die wordt veroorzaakt door een enkele extern geholte promptinjectie die het “~/.cursor/mcp.json” -bestand in stilte herschrijft en aanvaller -gecontroleerde opdrachten uitvoert.
De kwetsbaarheid is vergelijkbaar met Echoleak in die zin dat de tools, die worden blootgesteld door Model Control Protocol (MCP) -servers voor gebruik door AI -modellen en interactie met externe systemen vergemakkelijken, zoals het opvragen van databases of het oproepen van API’s, onbetrouwbare gegevens kunnen ophalen die het verwachte gedrag van de agent kunnen vergiftigen.
In het bijzonder bleek AIM -beveiliging dat het MCP.JSON -bestand dat wordt gebruikt om aangepaste MCP -servers in cursor te configureren, de uitvoering van een nieuwe invoer kan activeren (bijvoorbeeld het toevoegen van een Slack MCP -server) zonder enige bevestiging.
Deze automatische run-modus is bijzonder gevaarlijk omdat deze kan leiden tot de automatische uitvoering van een kwaadaardige lading die door de aanvaller via een Slack-bericht wordt geïnjecteerd. De aanvalsreeks gaat als volgt verder –
- Gebruiker voegt Slack MCP -server toe via Cursor UI
- Aanvallersberichten bericht in een openbaar slackkanaal met de payload van de commando -injectie
- Slachtoffer opent een nieuwe chat en vraagt Cursor’s Agent om de nieuw geconfigureerde Slack MCP -server te gebruiken om hun berichten in een prompt samen te vatten: “Gebruik Slack Tools om mijn berichten samen te vatten”
- De agent ontmoet een speciaal vervaardigd bericht dat is ontworpen om kwaadaardige opdrachten in zijn context te injecteren
“De kernoorzaak van de fout is dat nieuwe vermeldingen van het Global MCP JSON -bestand automatisch beginnen,” zei Aim Security. “Zelfs als de bewerking wordt afgewezen, was de code -uitvoering al gebeurd.”
De hele aanval is opmerkelijk vanwege zijn eenvoud. Maar het benadrukt ook hoe AI-geassisteerde tools nieuwe aanvalsoppervlakken kunnen openen bij het verwerken van externe inhoud, in dit geval elke MCP-server van derden.
“Terwijl AI -agenten externe, interne en interactieve werelden blijven overbruggen, moeten beveiligingsmodellen aannemen dat externe context de runtime van de agent kan beïnvloeden – en elke hop kunnen bewaken,” voegde het bedrijf eraan toe.
Versie 1.3 van Cursor behandelt ook een ander probleem met de automatische run-modus die gemakkelijk de op Denylist gebaseerde bescherming van het platform kan omzeilen met behulp van methoden zoals Base64-coderende, shell-scripts en het bijsluiten van shell-opdrachten in citaten (bijv. “E” Cho Bypass) om onveilige opdrachten uit te voeren.
Na verantwoorde openbaarmaking door het Backslash Research-team, heeft Cursor de stap gezet om de Denylist-functie voor Auto-Run ten gunste van een vergunning te versterken.
“Verwacht niet dat de ingebouwde beveiligingsoplossingen van sfeercoderingsplatforms uitgebreid of waterdicht zijn,” zeiden onderzoekers Mustafa Naamneh en Micah Gold. “De verantwoordelijkheid is op eindgebruikersorganisaties om ervoor te zorgen dat agentische systemen zijn uitgerust met de juiste vangrails.”
De openbaarmaking komt als HiddenLayer ook ontdekte dat de ineffectieve Denylistische benadering van de cursor kan worden bewapend door verborgen kwaadaardige instructies in te bedden met een Github README.MD -bestand, waardoor een aanvaller API -toetsen, SSH -referenties en zelfs geblokkeerde systeemopdrachten kan stelen.
“Toen het slachtoffer het project op GitHub bekeek, was de snelle injectie niet zichtbaar en vroegen ze cursor om het project te klonen en hen te helpen het op te zetten, een veel voorkomend optreden voor een op IDE gebaseerd agentisch systeem,” merkte onderzoekers Kasimir Schulz, Kenneth Yeung en Tom Bonner op.
“Na het klonen van het project en het beoordelen van de README om de instructies te zien om het project in te stellen, nam de snelle injectie het AI -model over en dwong het om het GREP -tool te gebruiken om sleutels in de werkruimte van de gebruiker te vinden voordat de sleutels met krul worden geëxfiltreerd met krul.”
HiddenLayer zei dat het ook extra zwakke punten vond die konden worden misbruikt om de systeemprompt van de cursor te lekken door de basis -URL te overschrijven die is verstrekt voor OpenAI API -aanvragen voor een proxied model, en het exfiltreren van de privé -SSH -toetsen van een gebruiker door twee goedaardige tools te gebruiken, lees_file en create_diagram, in wat een toolcombinatie -combinatie -aanval wordt genoemd.
Dit omvat in wezen het invoegen van een snel injectie -opdracht in een Github README.MD -bestand dat door cursor wordt ontleed wanneer de slachtoffergebruiker de code -editor vraagt om het bestand samen te vatten, wat resulteert in de uitvoering van de opdracht.
https://www.youtube.com/watch?v=jyrceponqks
De verborgen instructie van zijn kant gebruikt de tool Read_File om privé-SSH-toetsen van de gebruiker te lezen en gebruikt vervolgens de tool Create_Diagram om de sleutels te exfiltreren naar een aanvaller-gecontroleerde webhook.site URL. Alle geïdentificeerde tekortkomingen zijn door Cursor in versie 1.3 door Cursor verholpen.
Nieuws van verschillende kwetsbaarheden in Cursor komt omdat Tracebit een aanval heeft bedacht op Google’s Gemini CLI, een open-source command-line tool verfijnd voor codeertaken, die een standaardconfiguratie van de tool gebruikte om heimelijk gevoelige gegevens te exfiltreren naar een aanvaller-gecontroleerde server die Curl gebruikte.
Zoals waargenomen in het geval van cursor, vereist de aanval dat het slachtoffer (1) Gemini CLI instrueert om te communiceren met een door aanvallers gecreëerde Github-codebase met een snode indirecte snelle injectie in het Gemini.MD-contextbestand en (2) een goedaardig commando toevoegen aan een toelage (EG, GREP).
“Snelle injectie die zich richt op deze elementen, samen met significante validatie- en weergaveproblemen binnen Gemini CLI, kunnen niet -detecteerbare willekeurige code -uitvoering veroorzaken,” zeiden Tracebit -oprichter en CTO Sam Cox.
Om het risico van de aanval te verminderen, wordt Gemini CLI -gebruikers geadviseerd om hun installaties te upgraden naar versie 0.1.14 verzonden op 25 juli 2025.
